检测

RHEL 6:python-django-horizon 和 python-django-openstack-auth 更新(中危) (RHSA-2015:0845)

high Nessus 插件 ID 210212

语言:

简介

远程 Red Hat 主机缺少安全更新。

描述

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2015:0845 公告中提及的漏洞的影响。

 OpenStack Dashboard (horizon) 为管理员和用户提供图形界面,以便访问、配置和自动化云端资源。
 仪表盘让云管理员能够全面了解云的大小和状态,并为最终用户提供了一个自助服务门户,让他们在管理员设定的限制范围内,配置自己的资源。

 在使用 db 或 memcached 会话引擎时,OpenStack Dashboard (horizon) 中发现一个拒绝服务缺陷。攻击者可向登录页面重复发出请求,可造成大量不需要的后端会话条目,进而可能造成拒绝服务。(CVE-2014-8124)

 Red Hat 在此感谢 OpenStack 项目报告此问题。
 上游致谢本问题原始报告者 Time Warner Cable 的 Eric Peterson。

 python-django-horizon 程序包已升级到版本,提供了对之前版本 2014.1.4 的多项缺陷补丁,包括:

 * 默认 'target={}' 值泄漏到后续的 'policy.check()' 调用中。
 * Neutron 子网创建工具提示包含无效的 HTML 标签。
 * 管理员仪表板未正确报告内存。
 * 容器仪表盘未正确处理 unicode URL。
 (BZ#1203281)

 此更新还修复以下缺陷:

 * “OPENSTACK_SSL_NO_VERIFY”选项用于启用或禁用 SSL 证书有效性检查。在此更新之前,swift 客户端会忽略此检查。因此,无法将 horizon 与 swift 一起使用,且已通过自签名证书访问 swift。通过此更新,该选项现已得到正确处理,当启用“OPENSTACK_SSL_NO_VERIFY”选项时,Horizon 可以使用此端点。(BZ#1192517)

 * 以前,horizon.log 不会自动截断,从而导致日志文件非常大。通过此更新,文件现在可由 logrotate 修剪,从而修复此问题。(BZ#1112621)

 建议所有 OpenStack Dashboard 用户升级到这些更新后的程序包,其中修正了这些问题。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/security/updates/classification/#moderate

http://www.nessus.org/u?8079b7df

http://www.nessus.org/u?ac2f0b86

https://bugzilla.redhat.com/show_bug.cgi?id=1169637

https://bugzilla.redhat.com/show_bug.cgi?id=1203231

https://access.redhat.com/errata/RHSA-2015:0845

插件详情

严重性: High

ID: 210212

文件名: redhat-RHSA-2015-0845.nasl

版本: 1.2

类型: local

代理: unix

发布时间: 2024/11/4

最近更新时间: 2025/3/20

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 3.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P

CVSS 分数来源: CVE-2014-8124

CVSS v3

风险因素: High

基本分数: 7.5

时间分数: 6.5

矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:openstack-dashboard-theme, p-cpe:/a:redhat:enterprise_linux:python-django-horizon-doc, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:python-django-openstack-auth, p-cpe:/a:redhat:enterprise_linux:openstack-dashboard, p-cpe:/a:redhat:enterprise_linux:python-django-horizon

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2015/4/16

漏洞发布日期: 2014/11/19

参考资料信息

CVE: CVE-2014-8124

CWE: 400

RHSA: 2015:0845