MagicLinux 7pcs-0.9.143-15.el7 (AXSA:2015-718:02)
medium Nessus 插件 ID 289173
语言:
简介
远程iraclelinux 主机缺少安全更新。描述
远程iraclelinux 7 主机上存在安装的程序包该程序包受到 AXSA:2015-718:02 公告中提及的漏洞的影响。pcs 是 corosync 和 pacemaker 配置工具。它允许用户轻松查看、修改和创建基于 pacemaker 的群集。
此版本修复的安全问题
CVE-2015-3225 低于 1.5.4 的 1.6.x Rack中的 lib/rack/utils.rb 在 Ruby on Rails 1.6.23.x 和 4.x 以及其他产品中使用时允许远程攻击者通过具有大参数深度的请求。
增强:
* pcs 资源移动和 pcs 资源禁止命令现在显示一条警告消息详尽说明了这些命令的行为
* 将 Pacemaker 资源移动到其首选节点的新命令 修复了缺陷
* 在此更新之前,该缺陷会导致在从资源组删除任何资源时,与该组相关的位置、排序和共位限制被删除。此缺陷已修复,且已保留限制,直至该组中不再包含任何资源并且已经被删除。
* 以前,如果用户禁用了资源克隆或多状态资源,而随后启用其中的原始资源,则克隆或多状态资源仍会处于禁用状态。通过此更新,在禁用的克隆或多状态资源中启用资源可以将其启用。
* web UI 显示资源属性列表之后缺陷会在第一个 = 字符处将列表截断。此更新修复了该缺陷,现在 web UI 可以正确显示资源属性列表。
* pcs stonith confirm 命令的文档不清楚。这将导致错误使用命令,转而造成数据损坏。通过此更新已改进文档并且现在可以更清楚地说明 pcs stonith confirm 命令。
* 此前如果存在任何未经认证的节点则将无法创建新的群集、向现有群集添加节点或向 web UI 添加群集并且会出现节点未验证消息。
通过此更新,web UI 当检测到认证发生问题时,将根据需要向认证节点显示一个对话框。
* 以前,web UI 只显示原始资源。因此无法针对父资源和子资源分别设置特性、限制和其他属性。已修复此问题,现在资源以树状结构显示,这意味着可以单独查看并编辑所有资源元素。
增强:
* 已添加用于显示 web UI 中群集状态的仪表板。以前,无法在同一位置查看群集的全部重要信息。现在,web UI 的主页面添加了一个显示群集状态的仪表板。
* 通过此更新,pcsd 后台程序会自动同步群集上的 pcsd 配置。这样,任意节点均可以运行 web UI,即使在特定节点出现故障时也可以对其进行管理。
* 现在 web UI 可以用于设置群集上用户和群组的权限。这可使用户和群组将其访问限制在对特定群集上的特定操作。
Tenable 已直接从MiracleLinux 安全公告中提取上述描述块。
请注意,Nessus 尚未测试此问题,而是只依据应用程序自我报告的版本号进行判断。
解决方案
更新受影响的 pcs 程序包。另见
插件详情
严重性: Medium
ID: 289173
文件名: miracle_linux_AXSA-2015-718.nasl
版本: 1.1
类型: local
发布时间: 2026/1/16
最近更新时间: 2026/1/16
支持的传感器: Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 1.4
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: Medium
基本分数: 5
时间分数: 3.7
矢量: CVSS2#AV:N/AC:L/Au:N/C:N/I:N/A:P
CVSS 分数来源: CVE-2015-3225
CVSS v3
风险因素: Medium
基本分数: 5.3
时间分数: 4.6
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: cpe:/o:miracle:linux:7, p-cpe:/a:miracle:linux:pcs
必需的 KB 项: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2015/11/24
漏洞发布日期: 2015/6/16
参考资料信息
CVE: CVE-2015-3225