RHEL 6 / 7 : Red Hat Satellite 6 (RHSA-2018:0273)

medium Nessus 插件 ID 106615

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新现在可用于 Red Hat Enterprise Linux 6 和 Red Hat Enterprise Linux 7 的 Red Hat Satellite 6.2。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其针对每个漏洞给出了详细的严重性等级。[2018 年 2 月 6 日更新] 此公告已更新并包含正确的解决方案。此修订更新中包含的程序包与原始公告中的程序包完全相同。Red Hat Satellite 是一个系统管理解决方案，它使组织能够配置和维护其系统，而无需为自身服务器或其他客户端系统提供公共 Internet 访问。该解决方案可执行预定义标准操作环境的设置和配置管理。Twisted 是 Internet 应用程序适用的事件型框架。Twisted Web 是完整的 Web 服务器，旨在利用 Twisted 和 Python 来托管 Web 应用程序，但也完全能为静态页面服务。安全修复：* 已发现 python-twisted-web 使用 HTTP 请求中 Proxy 标头的值来初始化 CGI 脚本的 HTTP_PROXY 环境变量，而某些 HTTP 客户端实现会不当使用这些变量来配置传出 HTTP 请求的代理。远程攻击者可能利用此缺陷，通过恶意 HTTP 请求，将 CGI 脚本执行的 HTTP 请求重定向到受攻击者控制的代理。(CVE-2016-1000111) Red Hat 在此感谢 Scott Geary (VendHQ) 报告此问题。此更新也会修复下列漏洞：* 由于使用自定义授权的证书，Satellite 6.2 至 Satellite 6.3 的升级失败。以下升级路径可正常使用。(BZ# 1523880, BZ#1527963) * 针对从 Satellite 6.2 至 Satellite 6.3 的升级，提供支持数据验证的额外工具。(BZ#1519904) * goferd 和qpid 中的几个内存使用漏洞已经解决。(BZ# 1319165, BZ#1318015, BZ#1492355, BZ#1491160, BZ#1440235) * 提高了 Puppet 报告性能和勘误表的适用性。(BZ#1465146, BZ#1482204) * 从 6.2.10 升级到 6.2.11 时未正确停止服务，会导致升级因正在移除的 qpid 数据而失败。现在此情况可以得到正确处理。(BZ#1482539) * 现在可以通过安装过程来配置 Puppet 服务器的密码套件。(BZ#1491363) * 默认情况下，现在 Apache 服务器的默认密码套件更加安全。(BZ#1467434) * 包含在 Satellite 中的 Pulp 服务器已得到增强，可以更好地处理对单个主机勘误表适用性的并行处理，以及 Puppet 存储库的同步。(BZ#1515195, BZ#1421594) * VDC 订阅会创建仅针对单个主机的来宾机池。管理员将这些池附加到激活密钥上，这种做法不正确。管理员的这一权限现已禁用。(BZ#1369189) * Satellite 不易受到 RHSA-2016:1978 的影响，但是安全扫描器会错误地将其标记为问题。来自此勘误表的程序包现在通过 Satellite 频道传递，可以避免上述误报。(BZ# 1497337) * OpenScap 报告解析导致内存泄露。此泄露已得到修复。(BZ#1454743) * docker 容器和存储库名称长度的验证过于严格。现在，名称可以加长。(BZ#1424689) 建议 Red Hat Satellite 用户升级至这些更新后的程序包，其中修正了这些问题。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/security/cve/cve-2016-1000111

https://access.redhat.com/errata/RHSA-2018:0273

插件详情

严重性: Medium

ID: 106615

文件名: redhat-RHSA-2018-0273.nasl

版本: 3.12

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2018/2/6

最近更新时间: 2020/3/16

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 1.4

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:P/A:N

CVSS v3

风险因素: Medium

基本分数: 5.3

时间分数: 4.6

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:L/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:pulp-selinux, p-cpe:/a:redhat:enterprise_linux:satellite, p-cpe:/a:redhat:enterprise_linux:satellite-cli, p-cpe:/a:redhat:enterprise_linux:tfm-rubygem-katello, p-cpe:/a:redhat:enterprise_linux:foreman-vmware, p-cpe:/a:redhat:enterprise_linux:satellite-capsule, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch-debuginfo, p-cpe:/a:redhat:enterprise_linux:foreman, p-cpe:/a:redhat:enterprise_linux:foreman-compute, p-cpe:/a:redhat:enterprise_linux:foreman-installer-katello, p-cpe:/a:redhat:enterprise_linux:foreman-rackspace, p-cpe:/a:redhat:enterprise_linux:katello-common, p-cpe:/a:redhat:enterprise_linux:python-pulp-bindings, p-cpe:/a:redhat:enterprise_linux:python-pulp-streamer, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:pulp-server, p-cpe:/a:redhat:enterprise_linux:katello-debug, p-cpe:/a:redhat:enterprise_linux:foreman-postgresql, p-cpe:/a:redhat:enterprise_linux:python-twisted-web, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-admin-extensions, p-cpe:/a:redhat:enterprise_linux:tfm-rubygem-foreman_theme_satellite, p-cpe:/a:redhat:enterprise_linux:libqpid-dispatch, p-cpe:/a:redhat:enterprise_linux:satellite-debug-tools, p-cpe:/a:redhat:enterprise_linux:katello-installer-base, p-cpe:/a:redhat:enterprise_linux:foreman-ec2, p-cpe:/a:redhat:enterprise_linux:python-pulp-client-lib, p-cpe:/a:redhat:enterprise_linux:katello-service, p-cpe:/a:redhat:enterprise_linux:qpid-proton-c, p-cpe:/a:redhat:enterprise_linux:foreman-openstack, p-cpe:/a:redhat:enterprise_linux:qpid-proton-debuginfo, p-cpe:/a:redhat:enterprise_linux:pulp-admin-client, p-cpe:/a:redhat:enterprise_linux:python-qpid-proton, p-cpe:/a:redhat:enterprise_linux:python-pulp-agent-lib, p-cpe:/a:redhat:enterprise_linux:python-pulp-puppet-common, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch-tools, p-cpe:/a:redhat:enterprise_linux:foreman-installer, p-cpe:/a:redhat:enterprise_linux:foreman-ovirt, p-cpe:/a:redhat:enterprise_linux:python-pulp-repoauth, p-cpe:/a:redhat:enterprise_linux:qpid-dispatch-router, p-cpe:/a:redhat:enterprise_linux:python-pulp-common, p-cpe:/a:redhat:enterprise_linux:foreman-gce, p-cpe:/a:redhat:enterprise_linux:candlepin-selinux, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-tools, p-cpe:/a:redhat:enterprise_linux:rubygem-smart_proxy_openscap, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:katello, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-plugins, p-cpe:/a:redhat:enterprise_linux:candlepin, p-cpe:/a:redhat:enterprise_linux:tfm-rubygem-katello_ostree, p-cpe:/a:redhat:enterprise_linux:katello-capsule, p-cpe:/a:redhat:enterprise_linux:foreman-libvirt, p-cpe:/a:redhat:enterprise_linux:python-pulp-oid_validation, p-cpe:/a:redhat:enterprise_linux:foreman-debug

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2018/2/5

漏洞发布日期: 2020/3/11

参考资料信息

CVE: CVE-2016-1000111

RHSA: 2018:0273