检测

Scientific Linux 安全更新:SL5.x i386/x86_64 中的 conga

low Nessus 插件 ID 63592

语言:

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

已发现 luci 可在会话 Cookie 中存储用户名和密码。此问题可阻止会话非活动超时功能正确运行,并允许攻击者访问会话 Cookie,从而获得受害者的认证凭据。
(CVE-2012-3359)

此更新还修复以下缺陷:

- 在此更新之前,luci 不允许配置 fence_apc_snmp 代理。因此,用户不能配置 fence_apc_snmp 或查看其现有配置。此更新添加了一个新屏幕,允许配置 fence_apc_snmp。

- 在此更新之前,luci 不允许启用或禁用 fence_ilo fence 代理的 SSL 操作。因此,用户不能配置 fence_ilo 的“ssl”属性或查看其现有配置。此更新添加了一个显示 SSL 操作是否启用的复选框,允许用户编辑该属性。

- 在此更新之前,luci 不允许查看或编辑 fence_ilo_mp fence 代理的“identity_file”属性。因此,用户不能配置 fence_ilo_mp fence 代理的“identity_file”属性或查看其现有配置。此更新添加了一个显示 fence_ilo_mp 的“identity_file”属性当前状态的文本输入框,允许用户编辑该属性。

- 在此更新之前,卸载 luci 程序包后,冗余文件和目录仍然保留在文件系统的 /var/lib/luci/var/pts 和 /usr/lib{,64}/luci/zope/var/pts 中。此更新可在卸载 luci 程序包时删除这些文件和目录。

- 在此更新之前,用户在为故障转移域配置恢复策略时可从中进行选择的恢复策略列表中未显示“restart-disable”恢复策略。因此,不能通过 luci GUI 设置“重启-禁用”恢复策略。此更新将“重启-禁用”恢复选项添加到恢复策略下拉列表中。

- 在此更新之前,“yum list”输出中的非预期换行可在创建群集或将现有节点添加到群集时导致程序包升级和/或安装失败。因此,创建集群以及添加集群节点到现有群集时失败。此更新修改了 ricci 后台程序,使其可正确处理“yum 列表”输出中的换行符。

此外,此更新还添加了以下增强:

- 此更新向 luci 程序包添加对配置 Intel iPDU fence 代理的支持。

- 此更新向 FS 和 Cluster FS 资源代理配置屏幕添加对查看和更改新“nfsrestart”属性的状态的支持。

安装此更新后,luci 和 ricci 服务将自动重新启动。

解决方案

更新受影响的 conga-debuginfo、luci 和/或 ricci 程序包。

另见

http://www.nessus.org/u?51399252

插件详情

严重性: Low

ID: 63592

文件名: sl_20130108_conga_on_SL5_x.nasl

版本: 1.8

类型: local

代理: unix

发布时间: 2013/1/17

最近更新时间: 2021/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Low

基本分数: 3.7

矢量: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:fermilab:scientific_linux:ricci, x-cpe:/o:fermilab:scientific_linux, p-cpe:/a:fermilab:scientific_linux:luci, p-cpe:/a:fermilab:scientific_linux:conga-debuginfo

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2013/1/8

漏洞发布日期: 2014/3/31

参考资料信息

CVE: CVE-2012-3359