RHEL 6:Red Hat OpenShift Enterprise 2.2.7 (RHSA-2015:1844)

medium Nessus 插件 ID 119363

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

Red Hat OpenShift Enterprise 2.2.7 版现在连同程序包更新予以提供,可修复数个错误并推出增强功能。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。Red Hat 的 OpenShift Enterprise 是该公司的云计算平台即服务 (PaaS) 解决方案,专门针对本地部署或私有云端部署而设计。因篇幅所限,无法在此公告中记载所有缺陷修复。如需有关这些变更的详细信息,请参阅 OpenShift Enterprise 技术札记,这项信息不久将在 2.2.7 版中更新。此版本已解决下述安全问题:在 Jenkins API 令牌发放服务中发现缺陷。此服务无法正确保护匿名用户,可能允许远程攻击者提升权限。(CVE-2015-1814) 发现组合筛选 Groovy 脚本可能允许远程攻击者在 Jenkins 主机上执行任意代码。(CVE-2015-1806) 发现在生成项目时,Jenkins 服务器将遵循符号链接,进而可能导致服务器上的信息泄露。(CVE-2015-1807) Jenkins 处理特定更新中心数据的方式中发现拒绝服务缺陷。经验证的用户可向 Jenkins 提供特制的更新中心数据,进而造成插件和工具安装运行不正常。(CVE-2015-1808) 发现 Jenkins 的 XPath 处理允许 XML 外部实体 (XXE) 扩展。拥有读取访问权的远程攻击者可利用此缺陷读取 Jenkins 服务器上的任意 XML 文件。(CVE-2015-1809) 发现内部 Jenkins 用户数据库未限制访问保留的名称,进而允许用户提升权限。(CVE-2015-1810) 发现 Jenkins 的 XML 处理允许 XML 外部实体 (XXE) 扩展。能够将 XML 数据传递到 Jenkins 的远程攻击者可利用此缺陷读取 Jenkins 服务器上的任意 XML 文件。(CVE-2015-1811) 在 Jenkins 中发现两个跨站脚本 (XSS) 缺陷。远程攻击者可利用这些缺陷,针对使用 Jenkins 的应用程序用户,进行 XSS 攻击。(CVE-2015-1812, CVE-2015-1813) https://access.redhat.com/documentation/en-US/OpenShift_Enterprise/2/ html-single/Technical_Notes/index.html 建议所有 OpenShift Enterprise 2 用户升级到这些更新版程序包。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?d824e348

https://access.redhat.com/errata/RHSA-2015:1844

https://access.redhat.com/security/updates/classification/#important

https://bugzilla.redhat.com/show_bug.cgi?id=1062253

https://bugzilla.redhat.com/show_bug.cgi?id=1128567

https://bugzilla.redhat.com/show_bug.cgi?id=1130028

https://bugzilla.redhat.com/show_bug.cgi?id=1138522

https://bugzilla.redhat.com/show_bug.cgi?id=1152524

https://bugzilla.redhat.com/show_bug.cgi?id=1160699

https://bugzilla.redhat.com/show_bug.cgi?id=1171815

https://bugzilla.redhat.com/show_bug.cgi?id=1191283

https://bugzilla.redhat.com/show_bug.cgi?id=1197123

https://bugzilla.redhat.com/show_bug.cgi?id=1197576

https://bugzilla.redhat.com/show_bug.cgi?id=1205615

https://bugzilla.redhat.com/show_bug.cgi?id=1205616

https://bugzilla.redhat.com/show_bug.cgi?id=1205620

https://bugzilla.redhat.com/show_bug.cgi?id=1205622

https://bugzilla.redhat.com/show_bug.cgi?id=1205623

https://bugzilla.redhat.com/show_bug.cgi?id=1205625

https://bugzilla.redhat.com/show_bug.cgi?id=1205627

https://bugzilla.redhat.com/show_bug.cgi?id=1205632

https://bugzilla.redhat.com/show_bug.cgi?id=1216206

https://bugzilla.redhat.com/show_bug.cgi?id=1217572

https://bugzilla.redhat.com/show_bug.cgi?id=1221931

https://bugzilla.redhat.com/show_bug.cgi?id=1225943

https://bugzilla.redhat.com/show_bug.cgi?id=1226061

https://bugzilla.redhat.com/show_bug.cgi?id=1227501

https://bugzilla.redhat.com/show_bug.cgi?id=1228373

https://bugzilla.redhat.com/show_bug.cgi?id=1229300

https://bugzilla.redhat.com/show_bug.cgi?id=1232827

https://bugzilla.redhat.com/show_bug.cgi?id=1232921

https://bugzilla.redhat.com/show_bug.cgi?id=1241750

https://bugzilla.redhat.com/show_bug.cgi?id=1257757

https://bugzilla.redhat.com/show_bug.cgi?id=1264039

https://bugzilla.redhat.com/show_bug.cgi?id=1264210

https://bugzilla.redhat.com/show_bug.cgi?id=1264216

插件详情

严重性: Medium

ID: 119363

文件名: redhat-RHSA-2015-1844.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2018/12/4

最近更新时间: 2025/4/15

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: Important

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2015-1814

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2015-1811

CVSS v4

风险因素: Medium

Base Score: 6.9

Threat Score: 2.7

Threat Vector: CVSS:4.0/E:U

Vector: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-node, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:jenkins, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-controller, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-perl, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-mock, p-cpe:/a:redhat:enterprise_linux:openshift-origin-broker-util, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jenkins, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-console, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-gear-placement, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-msg-broker-mcollective, p-cpe:/a:redhat:enterprise_linux:openshift-origin-broker, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-nodejs, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-routing-daemon, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-haproxy, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-frontend-apache-vhost, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-python, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-php, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jbosseap, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-ruby, p-cpe:/a:redhat:enterprise_linux:openshift-origin-node-util, p-cpe:/a:redhat:enterprise_linux:openshift-origin-logshifter, p-cpe:/a:redhat:enterprise_linux:rhc, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-diy, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jbossews

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2015/9/30

漏洞发布日期: 2015/10/16

参考资料信息

CVE: CVE-2015-1806, CVE-2015-1807, CVE-2015-1808, CVE-2015-1809, CVE-2015-1810, CVE-2015-1811, CVE-2015-1812, CVE-2015-1813, CVE-2015-1814

CWE: 20, 284, 59, 611, 79

RHSA: 2015:1844