检测

RHEL 6:openstack-heat-templates (RHSA-2014:0579)

critical Nessus 插件 ID 210199

语言:

简介

远程 Red Hat 主机缺少一个或多个 openstack-heat-templates 安全更新。

描述

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2014:0579 公告中提及的多个漏洞的影响。

 OpenStack Orchestration (heat) 是一种模板驱动的引擎,用于指定和部署计算、存储和 OpenStack 网络的配置。
 它还可用于将部署后操作自动化,从而允许自动配置基础设施、服务和应用程序。Orchestration 还可与 Telemetry 警报集成,以对某些基础设施资源实施自动缩放。

 openstack-heat-templates 程序包提供了 heat 示例模板,以及 openstack-heat 程序包的映像构建元素。

 已发现某些 heat 模板使用 HTTP 通过 Yum 不安全地下载程序包和签名密钥。攻击者可利用此缺陷执行中间人攻击,以阻止在系统上安装必要的安全更新。(CVE-2014-0040)

 已发现某些 heat 模板禁用了多个 Yum 存储库的 SSL 保护 (sslverify=false)。攻击者可利用此缺陷执行中间人攻击,以阻止在系统上安装必要的安全更新。(CVE-2014-0041)

 发现某些 heat 模板通过 Yum (gpgcheck=0) 禁用程序包 GPG 签名检查。攻击者可利用此缺陷执行中间人攻击,在系统上安装任意程序包。(CVE-2014-0042)

 这些问题由 Red Hat 产品安全团队的 Grant Murphy 发现。

 建议所有 openstack-heat-templates 用户升级到此更新后的程序包,其中修正了这些问题。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试这些问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

请根据 RHSA-2014:0579 中的指南更新 RHEL openstack-heat-templates 程序包。

另见

https://access.redhat.com/security/updates/classification/#low

https://bugzilla.redhat.com/show_bug.cgi?id=1059514

https://bugzilla.redhat.com/show_bug.cgi?id=1059515

https://bugzilla.redhat.com/show_bug.cgi?id=1059520

http://www.nessus.org/u?d73d18c7

https://access.redhat.com/errata/RHSA-2014:0579

插件详情

严重性: Critical

ID: 210199

文件名: redhat-RHSA-2014-0579.nasl

版本: 1.1

类型: local

代理: unix

发布时间: 2024/11/4

最近更新时间: 2024/11/4

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.2

Vendor

Vendor Severity: Low

CVSS v2

风险因素: Medium

基本分数: 4.3

时间分数: 3.4

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

CVSS 分数来源: CVE-2014-0042

CVSS v3

风险因素: Critical

基本分数: 9.1

时间分数: 8.2

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N

时间矢量: CVSS:3.0/E:P/RL:O/RC:C

CVSS 分数来源: CVE-2014-0040

漏洞信息

CPE: cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:openstack-heat-templates

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

可利用: true

易利用性: Exploits are available

补丁发布日期: 2014/5/29

漏洞发布日期: 2014/1/9

参考资料信息

CVE: CVE-2014-0040, CVE-2014-0041, CVE-2014-0042

CWE: 295, 494, 522

RHSA: 2014:0579