RHEL 7:Red Hat Enterprise Linux OpenStack Platform Installer 更新(重要)(RHSA-2015:0791)
critical Nessus 插件 ID 210222
语言:
简介
远程 Red Hat 主机缺少安全更新。描述
远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2015:0791 公告中提及的漏洞的影响。Red Hat Enterprise OpenStack Platform Installer 是一种部署管理工具。它提供 Web 用户界面,用于管理远程系统的安装与配置。使用 Puppet 部署更改。此外,可以提供动态主机配置协议 (DHCP)、域名系统 (DNS)、预启动执行环境 (PXE) 和普通文件传输协议 (TFTP) 服务。控制这些服务还可以配置尚未安装操作系统的物理系统。
已发现 openstack-puppet-modules 程序包随附的 puppet 清单会使用已知的默认密码来配置 pcsd 后台程序。如果未更改此密码,那么攻击者可能会获得 pcsd 的访问权限,从而以根用户的身份运行 shell 命令。(CVE-2015-1842)
注意:此缺陷仅影响使用 HA 功能集部署的 Red Hat Enterprise Linux OpenStack Platform 安装。
有关解决此缺陷的更多信息,请参阅:
https://access.redhat.com/articles/1396123
此问题的发现者为 Red Hat 的 Alessandro Vozza。
除了上述问题,此更新还解决了多种缺陷,详情请参阅“参考”部分中链接的 Red Hat Enterprise Linux OpenStack Platform 技术札记。
建议所有 Red Hat Enterprise Linux OpenStack Platform Installer 用户升级到这些更新后的程序包,其中修正了这些问题。
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
https://access.redhat.com/security/updates/classification/#important
http://www.nessus.org/u?fd99ec4e
https://access.redhat.com/articles/1396123
https://bugzilla.redhat.com/show_bug.cgi?id=1131584
https://bugzilla.redhat.com/show_bug.cgi?id=1179892
https://bugzilla.redhat.com/show_bug.cgi?id=1187815
https://bugzilla.redhat.com/show_bug.cgi?id=1188602
https://bugzilla.redhat.com/show_bug.cgi?id=1189921
https://bugzilla.redhat.com/show_bug.cgi?id=1190185
https://bugzilla.redhat.com/show_bug.cgi?id=1191519
https://bugzilla.redhat.com/show_bug.cgi?id=1192513
https://bugzilla.redhat.com/show_bug.cgi?id=1192862
https://bugzilla.redhat.com/show_bug.cgi?id=1192864
https://bugzilla.redhat.com/show_bug.cgi?id=1193582
https://bugzilla.redhat.com/show_bug.cgi?id=1194269
https://bugzilla.redhat.com/show_bug.cgi?id=1196310
https://bugzilla.redhat.com/show_bug.cgi?id=1198032
https://bugzilla.redhat.com/show_bug.cgi?id=1199266
https://bugzilla.redhat.com/show_bug.cgi?id=1199827
https://bugzilla.redhat.com/show_bug.cgi?id=1201363
https://bugzilla.redhat.com/show_bug.cgi?id=1201875
https://bugzilla.redhat.com/show_bug.cgi?id=1202464
https://bugzilla.redhat.com/show_bug.cgi?id=1204483
https://bugzilla.redhat.com/show_bug.cgi?id=1204647
https://bugzilla.redhat.com/show_bug.cgi?id=1207284
插件详情
严重性: Critical
ID: 210222
文件名: redhat-RHSA-2015-0791.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2024/11/4
最近更新时间: 2024/11/4
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
Vendor
Vendor Severity: Important
CVSS v2
风险因素: Critical
基本分数: 10
时间分数: 7.4
矢量: CVSS2#AV:N/AC:L/Au:N/C:C/I:C/A:C
CVSS 分数来源: CVE-2015-1842
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:openstack-puppet-modules, p-cpe:/a:redhat:enterprise_linux:openstack-foreman-installer, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:foreman-proxy, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-staypuft, p-cpe:/a:redhat:enterprise_linux:rhel-osp-installer, p-cpe:/a:redhat:enterprise_linux:rhel-osp-installer-client, p-cpe:/a:redhat:enterprise_linux:foreman-discovery-image, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-staypuft-doc
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2015/4/7
漏洞发布日期: 2015/3/10
参考资料信息
CVE: CVE-2015-1842