RHEL 6 : openshift (RHSA-2013:0582)

high Nessus 插件 ID 119432

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

Red Hat OpenShift Enterprise 1.1.1 现在可用。Red Hat 安全响应团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。OpenShift Enterprise 是 Red Hat 的一种云计算平台即服务 (PaaS) 解决方案,专门针对本地部署或私有云端部署而设计。安装更新版程序包并重新启动 OpenShift 服务是此更新的唯一要求。但如果要在应用 OpenShift Enterprise 1.1.1 更新时,将系统更新为 Red Hat Enterprise Linux 6.4,建议重新启动系统。如需有关此版本的进一步信息,请参阅 OpenShift Enterprise 1.1.1 技术札记,此项信息不久将可从下列网址查看:https://access.redhat.com/knowledge/docs/ 此更新也修复了下列安全问题:在 rubygem-actionpack 中发现多个跨站脚本 (XSS) 缺陷。远程攻击者可利用这些缺陷对使用 rubygem-actionpack 的应用程序的用户进行 XSS 攻击。(CVE-2012-3463, CVE-2012-3464, CVE-2012-3465) 发现特定方法在传递文件名至 Ruby 中的较低层例程之前,并未先审查文件名。如果 Ruby 应用程序根据不受信任的输入名称创建文件,可能导致未按预期名称创建文件。(CVE-2012-4522) 在 Ruby 的关联数组(哈希)实施中,发现了拒绝服务缺陷。在将数据插入数组时,能够向 Ruby 应用程序提供作为密钥的大量输入(例如,发送到 Web 应用程序的 HTTP POST 请求参数)的攻击者,可触发多种哈希函数冲突,使数组操作占用过量 CPU 时间。为消除此问题,已使用一种更能防冲突的新算法,以降低攻击者成功引发有意冲突的机会。(CVE-2012-5371) 在 rubygem-activerecord 中发现输入验证漏洞。远程攻击者可能利用这些缺陷对使用 rubygem-activerecord 的应用程序执行 SQL 注入攻击。(CVE-2012-2661, CVE-2012-2695, CVE-2013-0155) 在 rubygem-actionpack 中发现输入验证漏洞。远程攻击者可能利用这些缺陷对使用 rubygem-actionpack 和 rubygem-activerecord 的应用程序执行 SQL 注入攻击。(CVE-2012-2660, CVE-2012-2694) 在 rubygem-actionpack 的 HTTP 摘要式验证实施中发现缺陷。远程攻击者可利用此缺陷在使用 rubygem-actionpack 和摘要式认证的应用程序中造成拒绝服务。(CVE-2012-3424) 在 Ruby 安全级别 4 的字符串处理中发现缺陷。远程攻击者可利用 Exception#to_s 以破坏性的方式修改未受感染的字符串,使其受到感染,之后就可以任意修改该字符串。(CVE-2012-4466) 在例外状况消息转译为“Ruby 例外状况”类别字符串的方式中发现缺陷。远程攻击者可利用该缺陷绕过安全级 4 的限制,从而允许不受信任(受感染)的代码修改任意不受信任(受感染)的字符串,而安全级 4 的限制本应阻止此行为。(CVE-2012-4464) 发现 rubygem-ruby_parser 的 ruby_parser 以一种不安全的方式创建临时文件。本地攻击者可利用此缺陷执行符号链接攻击,覆盖使用 ruby_parser 的应用程序可访问的任意文件。(CVE-2013-0162) CVE-2013-0162 问题的发现者为 Red Hat 区域 IT 团队的 Michael Scherer。建议用户升级到 Red Hat OpenShift Enterprise 1.1.1。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/documentation/en-us/

https://access.redhat.com/errata/RHSA-2013:0582

https://access.redhat.com/security/cve/cve-2012-2660

https://access.redhat.com/security/cve/cve-2012-3463

https://access.redhat.com/security/cve/cve-2012-3465

https://access.redhat.com/security/cve/cve-2012-3424

https://access.redhat.com/security/cve/cve-2012-2661

https://access.redhat.com/security/cve/cve-2012-2694

https://access.redhat.com/security/cve/cve-2012-2695

https://access.redhat.com/security/cve/cve-2012-3464

https://access.redhat.com/security/cve/cve-2012-4522

https://access.redhat.com/security/cve/cve-2013-0155

https://access.redhat.com/security/cve/cve-2012-4464

https://access.redhat.com/security/cve/cve-2012-5371

https://access.redhat.com/security/cve/cve-2012-4466

https://access.redhat.com/security/cve/cve-2013-0162

https://access.redhat.com/security/cve/cve-2013-0276

插件详情

严重性: High

ID: 119432

文件名: redhat-RHSA-2013-0582.nasl

版本: 1.10

类型: local

代理: unix

发布时间: 2018/12/6

最近更新时间: 2024/7/17

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 6.7

CVSS v2

风险因素: High

基本分数: 7.5

时间分数: 5.9

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2012-2695

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-io-console, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-node, p-cpe:/a:redhat:enterprise_linux:graphviz-ruby, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-railties-doc, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-ruby_parser, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-diy-0.1, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-controller, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-php-5.3, p-cpe:/a:redhat:enterprise_linux:rubygem-mongo, p-cpe:/a:redhat:enterprise_linux:graphviz-devel, p-cpe:/a:redhat:enterprise_linux:rubygem-activemodel, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-ruby-1.8, p-cpe:/a:redhat:enterprise_linux:openshift-console, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jenkins-client-1.4, p-cpe:/a:redhat:enterprise_linux:rubygem-bson, p-cpe:/a:redhat:enterprise_linux:rubygem-ruby_parser, p-cpe:/a:redhat:enterprise_linux:php-imap, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-activerecord-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-minitest, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jbossews-1.0, p-cpe:/a:redhat:enterprise_linux:php-mbstring, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jenkins-1.4, p-cpe:/a:redhat:enterprise_linux:rubygem-mongo-doc, p-cpe:/a:redhat:enterprise_linux:php-bcmath, p-cpe:/a:redhat:enterprise_linux:php-devel, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-postgresql-8.4, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-activemodel-doc, p-cpe:/a:redhat:enterprise_linux:openshift-origin-broker-util, p-cpe:/a:redhat:enterprise_linux:php-process, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-actionpack, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-ruby-1.9-scl, p-cpe:/a:redhat:enterprise_linux:rubygem-activerecord, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-console, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-json, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-activemodel, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-ruby_parser-doc, p-cpe:/a:redhat:enterprise_linux:openshift-origin-broker, p-cpe:/a:redhat:enterprise_linux:rubygem-actionpack, p-cpe:/a:redhat:enterprise_linux:openshift-origin-msg-node-mcollective, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-activerecord, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-perl-5.10, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-rdoc, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-doc, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-auth-remote-user, p-cpe:/a:redhat:enterprise_linux:graphviz-doc, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-mysql-5.1, p-cpe:/a:redhat:enterprise_linux:php-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby, p-cpe:/a:redhat:enterprise_linux:graphviz, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-jbosseap-6.0, p-cpe:/a:redhat:enterprise_linux:graphviz-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygems-devel, p-cpe:/a:redhat:enterprise_linux:rubygem-ruby_parser-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-railties, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-actionpack-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-irb, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-console-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygems, p-cpe:/a:redhat:enterprise_linux:graphviz-gd, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-rake, p-cpe:/a:redhat:enterprise_linux:rubygem-activemodel-doc, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-cron-1.4, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-libs, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-tcltk, p-cpe:/a:redhat:enterprise_linux:ruby193-ruby-devel, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-bigdecimal, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-haproxy-1.4

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2013/2/28

漏洞发布日期: 2012/6/22

参考资料信息

CVE: CVE-2012-2660, CVE-2012-2661, CVE-2012-2694, CVE-2012-2695, CVE-2012-3424, CVE-2012-3463, CVE-2012-3464, CVE-2012-3465, CVE-2012-4464, CVE-2012-4466, CVE-2012-4522, CVE-2012-5371, CVE-2013-0155, CVE-2013-0162, CVE-2013-0276

BID: 53753, 53754, 53970, 53976, 54704, 54957, 54958, 54959, 55757, 56115, 56484, 57192, 58110

RHSA: 2013:0582