RHEL 6:CloudForms System Engine 1.1.2 更新(中危) (RHSA-2013:0547)
medium Nessus 插件 ID 210166
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2013:0547 公告中提及的多个漏洞的影响。Red Hat CloudForms 是一种本地混合云基础架构即服务 (IaaS) 产品,用于创建和管理私有云与公有云。它以可管理、可管控的安全方式为用户提供自助式计算资源。CloudForms System Engine 可用于在分布式环境中配置新系统,订阅更新以及维护安装。
发现在安装和配置过程中运行的 /usr/share/katello/script/katello-generate-passphrase 实用工具在 /etc/katello/secure/passphrase 文件中设置了全局可读权限。本地攻击者可利用此缺陷获取 Katello 的密码,从而访问其原本没有访问权限的信息。
(CVE-2012-5561)
注意:安装此更新后,请确保 /etc/katello/secure/passphrase 文件归根用户和群组以及模式 0750 权限所有。站点还应考虑重新创建 Katello 密码,因为此问题已将密码暴露给本地用户。
katello-configure 实用工具执行的一项任务是创建 RPM 并将其安装在需要连接到 Katello 服务器的客户端计算机上。已发现此 RPM 对用于信任 Katello 服务器的 pem 文件(包含证书颁发机构的证书)设置了全局可读和可写入的权限。攻击者可利用此缺陷执行中间人攻击,从而允许其管理(如安装和删除软件)Katello 客户端系统。(CVE-2012-6116)
CVE-2012-5561 问题由 Red Hat Cloud 质量工程团队的 Aaron Weitekamp 发现, CVE-2012-6116 由 Red Hat 的 Dominic Cleal 和 James Laska 发现。
此更新还修复以下缺陷:
* CloudForms System Engine 命令行工具未正确解析区域设置,从而导致以下错误:
缺少转换:de.activerecord.errors.messages.record_invalid
此更新替换用于设置区域设置的控制器。不再出现转换错误。 (BZ#896251)
* 某些区域设置未为创建新角色正确转义某些 UI 内容。这破坏了某些区域设置的“保存”按钮。此更新修正了本地化 UI 内容的转义行为。“保存”按钮现在可用于创建新角色。(BZ#896252)
* 缺少的图标阻止用户删除最近或保存的搜索。此更新添加了图标,用户现在可以删除最近或已保存的搜索。
(BZ#896253)
* Candlepin 0.7.8 组件中的性能问题导致订阅响应性随着订阅 CloudForms System Engine 的系统数量的增加而降低。此勘误表更新到 Candlepin 0.7.19,修正了性能问题。(BZ#896261)
* CloudForms System Engine 不会获取 Extended Update Service (EUS) 权利。这会阻止用户查看和启用 EUS 存储库。此更新修订了清单上传和删除代码,还修正了获取权利的行为。系统引擎现在提取 EUS 授权。 (BZ#896265)
* 菜单宽度问题导致本地化 UI 不呈现某些菜单项。此更新会修正系统引擎 UI 的样式。Web UI 现在正确显示菜单项。(BZ#903702)
请参阅 CloudForms 1.1.2 发行说明以了解有关此版本的更多信息。很快将可通过 https://access.redhat.com/knowledge/docs/ 获得发行说明
要升级,请参阅 CloudForms 安装指南 4.1 部分中的升级说明。升级 CloudForms System Engine:
https://access.redhat.com/knowledge/docs/en-US/CloudForms/1.1/html/Installation_Guide/index.html
建议 CloudForms System Engine 用户升级到这些更新后的程序包。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
https://access.redhat.com/security/updates/classification/#moderate
https://access.redhat.com/knowledge/docs/
http://www.nessus.org/u?b59a1d3b
https://bugzilla.redhat.com/show_bug.cgi?id=807455
https://bugzilla.redhat.com/show_bug.cgi?id=879094
https://bugzilla.redhat.com/show_bug.cgi?id=896251
https://bugzilla.redhat.com/show_bug.cgi?id=896253
https://bugzilla.redhat.com/show_bug.cgi?id=896261
https://bugzilla.redhat.com/show_bug.cgi?id=896265
https://bugzilla.redhat.com/show_bug.cgi?id=903702
https://bugzilla.redhat.com/show_bug.cgi?id=904128
https://bugzilla.redhat.com/show_bug.cgi?id=906207
https://bugzilla.redhat.com/show_bug.cgi?id=907250
插件详情
严重性: Medium
ID: 210166
文件名: redhat-RHSA-2013-0547.nasl
版本: 1.2
类型: local
代理: unix
发布时间: 2024/11/4
最近更新时间: 2025/4/15
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: Low
基本分数: 2.1
时间分数: 1.6
矢量: CVSS2#AV:L/AC:L/Au:N/C:N/I:P/A:N
CVSS 分数来源: CVE-2012-6116
CVSS v3
风险因素: Medium
基本分数: 5.5
时间分数: 4.8
矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
CVSS 分数来源: CVE-2012-5561
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:katello-selinux, p-cpe:/a:redhat:enterprise_linux:katello-configure, p-cpe:/a:redhat:enterprise_linux:katello-glue-pulp, p-cpe:/a:redhat:enterprise_linux:katello-all, p-cpe:/a:redhat:enterprise_linux:katello, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:candlepin-devel, p-cpe:/a:redhat:enterprise_linux:katello-common, p-cpe:/a:redhat:enterprise_linux:katello-glue-candlepin, p-cpe:/a:redhat:enterprise_linux:candlepin, p-cpe:/a:redhat:enterprise_linux:katello-cli, p-cpe:/a:redhat:enterprise_linux:katello-cli-common, p-cpe:/a:redhat:enterprise_linux:katello-api-docs, p-cpe:/a:redhat:enterprise_linux:candlepin-selinux, p-cpe:/a:redhat:enterprise_linux:candlepin-tomcat6
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2013/2/21
漏洞发布日期: 2013/2/21
参考资料信息
CVE: CVE-2012-5561, CVE-2012-6116
RHSA: 2013:0547