检测

插件

RHEL 6：openstack-packstack (RHSA-2013:0595)

medium Nessus 插件 ID 234404

语言：

简介

远程 Red Hat 主机缺少 openstack-packstack 的一个或多个安全更新。

描述

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2013:0595 公告中提及的多个漏洞的影响。

PackStack 是一个命令行实用工具，它使用 Puppet 模块来支持通过 SSH 连接在现有服务器上快速部署 OpenStack。
PackStack 适用于部署单节点概念验证安装和更复杂的多节点安装。

在 PackStack 中发现一个缺陷。在清单创建过程中，清单文件以可预测的文件名写入到 /tmp/。本地攻击者可利用此缺陷执行符号链接攻击，从而用清单的内容覆盖运行 PackStack 的用户可访问的任意文件，从而可能导致拒绝服务。此外，攻击者可读取且可能修改所生成的清单，进而允许修改使用 OpenStack 部署的系统。
(CVE-2013-0261)

已发现在创建 cinder.conf 和所有 api-paste.ini 配置文件时具有全局可读的权限。本地攻击者可利用此缺陷查看管理密码，进而控制由 OpenStack 部署和管理的系统。 (CVE-2013-0266)

CVE-2013-0261 问题由 Red Hat 安全响应团队的 Kurt Seifried 发现， CVE-2013-0266 由 Red Hat OpenStack 团队的 Derek Higgins 发现。

此更新还修复了 openstack-packstack 程序包中的多个缺陷。

建议所有 openstack-packstack 用户升级此更新后的程序包，其中修正了这些问题。

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

根据 RHSA-2013:0595中的指南更新 RHEL openstack-packstack 程序包。

另见

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=886592

https://bugzilla.redhat.com/show_bug.cgi?id=890295

https://bugzilla.redhat.com/show_bug.cgi?id=892942

https://bugzilla.redhat.com/show_bug.cgi?id=903187

https://bugzilla.redhat.com/show_bug.cgi?id=904669

https://bugzilla.redhat.com/show_bug.cgi?id=905516

https://bugzilla.redhat.com/show_bug.cgi?id=905737

https://bugzilla.redhat.com/show_bug.cgi?id=906006

https://bugzilla.redhat.com/show_bug.cgi?id=906410

https://bugzilla.redhat.com/show_bug.cgi?id=907624

https://bugzilla.redhat.com/show_bug.cgi?id=907737

https://bugzilla.redhat.com/show_bug.cgi?id=908101

https://bugzilla.redhat.com/show_bug.cgi?id=908581

https://bugzilla.redhat.com/show_bug.cgi?id=910211

https://bugzilla.redhat.com/show_bug.cgi?id=910818

https://bugzilla.redhat.com/show_bug.cgi?id=911653

http://www.nessus.org/u?0c2085bf

https://access.redhat.com/errata/RHSA-2013:0595

插件详情

严重性: Medium

ID: 234404

文件名: redhat-RHSA-2013-0595.nasl

版本: 1.1

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2025/4/15

最近更新时间: 2025/4/15

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.2

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: Medium

基本分数: 4.4

时间分数: 3.3

矢量: CVSS2#AV:L/AC:M/Au:N/C:P/I:P/A:P

CVSS 分数来源: CVE-2013-0261

CVSS v3

风险因素: Medium

基本分数: 5.5

时间分数: 4.8

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2013-0266

漏洞信息

CPE: cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:openstack-packstack

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2013/3/5

漏洞发布日期: 2013/2/5

参考资料信息

CVE: CVE-2013-0261, CVE-2013-0266

RHSA: 2013:0595