RHEL 7:CFME 5.6.3 (RHSA-2016:2839)
high Nessus 插件 ID 233050
语言:
简介
远程 Red Hat 主机缺少安全更新。描述
远程 Redhat Enterprise Linux 7 主机上安装的程序包受到 RHSA-2016:2839 公告中提及的漏洞的影响。Red Hat CloudForms Management Engine 提供可解决管理虚拟环境难题所需的见解、控件和自动化。CloudForms Management Engine 基于 Ruby on Rails 构建,后者是适用于 Web 应用程序开发的模型-视图-控制器 (MVC) 框架。Action Pack 实施控制器和视图组件。
安全修复:
* 在处理容量和利用率导入的控制文件的方式中发现一个代码注入缺陷。具有容量和利用率功能访问权限的经身份验证的远程攻击者可利用此缺陷在用户 CFME 运行时执行任意代码。(CVE-2016-5402)
此问题由 Simon Lukasik (Red Hat) 发现。
其他变更:
此更新还修复了各种缺陷并添加了多项增强。值得注意的变更包括:
Automate 组件的更改:
* 此版本的 CloudForms 允许在不指定主机而验证群集的情况下配置虚拟机。在 VMware 上进行配置时,CloudForms 现在会验证是否选择了主机或群集。(BZ#1378116)
Providers 组件的更改:
* 在以前版本的 CloudForms 中,当尝试打开实例的 VNC 控制台时,CloudForms 无法连接,因为该租户不存在实例 - 它尝试使用错误的租户。此更新解决了打开 VNC 控制台时的租户问题。
CloudForms 现在可以成功连接,而不会出错。(BZ#1370207)
Provisioning 组件的更改:
* 在之前的 CloudForms 版本中,当目标数据中心嵌套在多个文件夹下时,克隆 VMware 模板会失败。这是因为如果数据中心在逻辑上嵌套在多个文件夹下,用户就无法在自动配置 VMware 供应请求中找到配置 ID。此修复始终从主机数据中心查找文件夹路径,而非静态设置可能错误的默认值,其已解决了 问题。(BZ#1361174)
对 Replication 组件的更改:
* 在之前版本的 CloudForms 中,成功保存的复制订阅的订阅验证失败。这是因为 UI 直接完成了验证,而 UI 无权访问当前保存的订阅的密码。当用户最初保存订阅时输入密码,验证就会通过,但一旦需要从数据库中检索订阅,验证就会失败。此更新修复了已保存复制订阅的验证失败。(BZ#1378554)
对漏洞组件的更改:
* 在处理容量和利用率导入的控制文件的方式中发现一个代码注入缺陷。具有容量和利用率功能访问权限的经身份验证的远程攻击者可利用此缺陷在用户 CFME 运行时执行任意代码。(BZ#1357559)
* 在以前版本的 CloudForms 中,当尝试保存子网/路由器/安全组/浮动 IPs/网络端口中的过滤器时,会出现异常。这是由于缺少网络资源路由造成的。此更新添加了网络资源的缺失路由,问题现已解决。
(BZ#1370573)
* 在之前的 CloudForms 版本中,数据存储中的“我的筛选条件”无法点击,且其下未显示任何筛选条件。此更新启用了数据存储中的 My Filters,问题现已解决。(BZ#1379727)
Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的程序包。另见
https://access.redhat.com/security/updates/classification/#important
https://bugzilla.redhat.com/show_bug.cgi?id=1346967
https://bugzilla.redhat.com/show_bug.cgi?id=1346969
https://bugzilla.redhat.com/show_bug.cgi?id=1347002
https://bugzilla.redhat.com/show_bug.cgi?id=1349413
https://bugzilla.redhat.com/show_bug.cgi?id=1357559
https://bugzilla.redhat.com/show_bug.cgi?id=1358324
https://bugzilla.redhat.com/show_bug.cgi?id=1361174
https://bugzilla.redhat.com/show_bug.cgi?id=1362632
https://bugzilla.redhat.com/show_bug.cgi?id=1368162
https://bugzilla.redhat.com/show_bug.cgi?id=1368172
https://bugzilla.redhat.com/show_bug.cgi?id=1370207
https://bugzilla.redhat.com/show_bug.cgi?id=1370570
https://bugzilla.redhat.com/show_bug.cgi?id=1370573
https://bugzilla.redhat.com/show_bug.cgi?id=1370576
https://bugzilla.redhat.com/show_bug.cgi?id=1372768
https://bugzilla.redhat.com/show_bug.cgi?id=1375206
https://bugzilla.redhat.com/show_bug.cgi?id=1376145
https://bugzilla.redhat.com/show_bug.cgi?id=1376514
https://bugzilla.redhat.com/show_bug.cgi?id=1376516
https://bugzilla.redhat.com/show_bug.cgi?id=1376519
https://bugzilla.redhat.com/show_bug.cgi?id=1376521
https://bugzilla.redhat.com/show_bug.cgi?id=1376525
https://bugzilla.redhat.com/show_bug.cgi?id=1376526
https://bugzilla.redhat.com/show_bug.cgi?id=1377417
https://bugzilla.redhat.com/show_bug.cgi?id=1377418
https://bugzilla.redhat.com/show_bug.cgi?id=1378116
https://bugzilla.redhat.com/show_bug.cgi?id=1378173
https://bugzilla.redhat.com/show_bug.cgi?id=1378554
https://bugzilla.redhat.com/show_bug.cgi?id=1379692
https://bugzilla.redhat.com/show_bug.cgi?id=1379693
https://bugzilla.redhat.com/show_bug.cgi?id=1379694
https://bugzilla.redhat.com/show_bug.cgi?id=1379697
https://bugzilla.redhat.com/show_bug.cgi?id=1379727
https://bugzilla.redhat.com/show_bug.cgi?id=1379728
https://bugzilla.redhat.com/show_bug.cgi?id=1380107
https://bugzilla.redhat.com/show_bug.cgi?id=1380170
https://bugzilla.redhat.com/show_bug.cgi?id=1381624
https://bugzilla.redhat.com/show_bug.cgi?id=1382072
https://bugzilla.redhat.com/show_bug.cgi?id=1382074
https://bugzilla.redhat.com/show_bug.cgi?id=1382164
https://bugzilla.redhat.com/show_bug.cgi?id=1382406
https://bugzilla.redhat.com/show_bug.cgi?id=1382408
https://bugzilla.redhat.com/show_bug.cgi?id=1382753
https://bugzilla.redhat.com/show_bug.cgi?id=1382819
https://bugzilla.redhat.com/show_bug.cgi?id=1382826
https://bugzilla.redhat.com/show_bug.cgi?id=1382834
https://bugzilla.redhat.com/show_bug.cgi?id=1382835
https://bugzilla.redhat.com/show_bug.cgi?id=1382836
https://bugzilla.redhat.com/show_bug.cgi?id=1382837
https://bugzilla.redhat.com/show_bug.cgi?id=1382846
https://bugzilla.redhat.com/show_bug.cgi?id=1382847
https://bugzilla.redhat.com/show_bug.cgi?id=1383368
https://bugzilla.redhat.com/show_bug.cgi?id=1383466
https://bugzilla.redhat.com/show_bug.cgi?id=1383469
https://bugzilla.redhat.com/show_bug.cgi?id=1383470
https://bugzilla.redhat.com/show_bug.cgi?id=1383497
https://bugzilla.redhat.com/show_bug.cgi?id=1385156
https://bugzilla.redhat.com/show_bug.cgi?id=1385173
https://bugzilla.redhat.com/show_bug.cgi?id=1386792
https://bugzilla.redhat.com/show_bug.cgi?id=1386793
https://bugzilla.redhat.com/show_bug.cgi?id=1386794
https://bugzilla.redhat.com/show_bug.cgi?id=1386797
https://bugzilla.redhat.com/show_bug.cgi?id=1388984
https://bugzilla.redhat.com/show_bug.cgi?id=1389025
https://bugzilla.redhat.com/show_bug.cgi?id=1389760
https://bugzilla.redhat.com/show_bug.cgi?id=1389790
https://bugzilla.redhat.com/show_bug.cgi?id=1390697
https://bugzilla.redhat.com/show_bug.cgi?id=1390698
https://bugzilla.redhat.com/show_bug.cgi?id=1390724
https://bugzilla.redhat.com/show_bug.cgi?id=1391710
https://bugzilla.redhat.com/show_bug.cgi?id=1391721
https://bugzilla.redhat.com/show_bug.cgi?id=1391764
https://bugzilla.redhat.com/show_bug.cgi?id=1391980
https://bugzilla.redhat.com/show_bug.cgi?id=1392561
https://bugzilla.redhat.com/show_bug.cgi?id=1392964
https://bugzilla.redhat.com/show_bug.cgi?id=1393061
https://bugzilla.redhat.com/show_bug.cgi?id=1395305
https://bugzilla.redhat.com/show_bug.cgi?id=1396665
https://bugzilla.redhat.com/show_bug.cgi?id=1397093
https://bugzilla.redhat.com/show_bug.cgi?id=1397095
https://bugzilla.redhat.com/show_bug.cgi?id=1397516
https://bugzilla.redhat.com/show_bug.cgi?id=1399285
插件详情
严重性: High
ID: 233050
文件名: redhat-RHSA-2016-2839.nasl
版本: 1.1
类型: local
代理: unix
发布时间: 2025/3/20
最近更新时间: 2025/3/20
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
Vendor
Vendor Severity: Important
CVSS v2
风险因素: High
基本分数: 9
时间分数: 6.7
矢量: CVSS2#AV:N/AC:L/Au:S/C:C/I:C/A:C
CVSS 分数来源: CVE-2016-5402
CVSS v3
风险因素: High
基本分数: 8.8
时间分数: 7.7
矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:freeipmi-ipmiseld, p-cpe:/a:redhat:enterprise_linux:freeipmi, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:freeipmi-devel, p-cpe:/a:redhat:enterprise_linux:freeipmi-bmc-watchdog, p-cpe:/a:redhat:enterprise_linux:cfme-appliance, p-cpe:/a:redhat:enterprise_linux:freeipmi-ipmidetectd, p-cpe:/a:redhat:enterprise_linux:cfme-gemset, p-cpe:/a:redhat:enterprise_linux:cfme
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2016/11/30
漏洞发布日期: 2016/11/30
参考资料信息
CVE: CVE-2016-5402