检测

RHEL 6 : rubygem-openshift-origin-node (RHSA-2014:0764)

critical Nessus 插件 ID 119356

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新版 rubygem-openshift-origin-node 程序包修复了一个安全问题及数个缺陷,现在可用于 Red Hat OpenShift Enterprise 2.1.1。Red Hat 安全响应团队将此更新评级为具有重大安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。rubygem-openshift-origin-node 程序包提供基本 OpenShift 节点功能。在 rubygem-openshift-origin-node 中发现一个命令注入缺陷。允许通过 Web 界面安装盒的经验证远程用户可利用此缺陷,以 Red Hat OpenShift Enterprise 节点服务器上的根权限,执行任意代码。(CVE-2014-3496) 此问题的发现者为 Red Hat HSS Pen-test 团队的 Jeremy Choi。rubygem-openshift-origin-node 程序包已升级到版本 1.23.9.11。此外,rubygem-openshift-origin-container-selinux 程序包已升级到更新版 rubygem-openshift-origin-node 程序包所需的 0.8.1.2 版。此更新也修复下列缺陷:* 节点上的 syslog_logger.rb 实施未正确使用 Ruby Syslog 库。原始日志消息输入当做 Syslog 格式字符串处理,进而造成许多应用程序操作失败。此缺陷修复可更新实施,以正确处理原始日志消息输入,因此不再发生失败。(BZ#1096900) * 在某些情况下,节点上的 MCollective 代理在检查盒状态时,可能无法完全初始化。这会导致 rhc 盒状态分散失败。此缺陷修复可确保代理一律完全初始化。(BZ#1102399) * 使用 ‘rhc ssh’ 命令连接至装置时,如果是在禁用节配额的节点上托管装置,则开发人员会遭遇语法错误。这是因为命令尝试报告配额信息,但由于配额遭到禁用而获得空字符串所致。此缺陷修复可在没有信息可报告时,更新报告配额的处理,因此不再发生语法错误。(BZ#1107801) * 如果含有无效特殊字符的文件置于应用程序的 ~/.env/user_vars 目录,之后使用 SSH 或 Git 与应用程序交互则会遭到拒绝。这是因为处理无效字符的节点组件发生问题所致。此缺陷修复可更新节点组件,以处理 ~/.env/user_vars 中有问题的文件,因此使用 SSH 或 Git 与应用程序交互会如常成功。(BZ#1096833) 建议所有 rubygem-openshift-origin-node 用户升级到此更新版程序包,其中包含用于修正此问题的向后移植修补程序。

解决方案

更新受影响的 rubygem-openshift-origin-container-selinux 和/或 rubygem-openshift-origin-node 程序包。

另见

https://access.redhat.com/errata/RHSA-2014:0764

https://access.redhat.com/security/cve/cve-2014-3496

插件详情

严重性: Critical

ID: 119356

文件名: redhat-RHSA-2014-0764.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2018/12/4

最近更新时间: 2024/7/17

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Critical

基本分数: 10

时间分数: 7.4

矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2014-3496

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-container-selinux, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-node, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/6/18

漏洞发布日期: 2014/6/20

参考资料信息

CVE: CVE-2014-3496

BID: 68105

RHSA: 2014:0764