RHEL 5:conga (RHSA-2013:0128)
critical Nessus 插件 ID 64074
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
更新后的 conga 程序包修复了一个安全问题和多种缺陷并添加了两项增强,现在可用于 Red Hat Enterprise Linux 5。Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
Conga 项目是远程工作站的管理系统。它包括 luci 和 ricci 两部分,前者是一款基于 Web 的安全前端,而后者是一款将传入消息分发到底层管理模块的安全后台程序。
已发现 luci 可在会话 Cookie 中存储用户名和密码。此问题可阻止会话非活动超时功能正确运行,并允许攻击者访问会话 Cookie,从而获得受害者的认证凭据。
(CVE-2012-3359)
Red Hat 在此感谢 Cybercom Sweden East AB 的 George Hedfors 报告此问题。
此更新还修复以下缺陷:
* 在此更新之前,luci 不允许配置 fence_apc_snmp 代理。因此,用户不能配置 fence_apc_snmp 或查看其现有配置。此更新添加了一个新屏幕,允许配置 fence_apc_snmp。(BZ#832181)
* 在此更新之前,luci 不允许启用或禁用 fence_ilo fence 代理的 SSL 操作。因此,用户不能配置 fence_ilo 的“ssl”属性或查看其现有配置。此更新添加了一个显示 SSL 操作是否启用的复选框,允许用户编辑该属性。(BZ#832183)
* 在此更新之前,luci 不允许查看或编辑 fence_ilo_mp fence 代理的“identity_file”属性。因此,用户不能配置 fence_ilo_mp fence 代理的“identity_file”属性或查看其现有配置。此更新添加了一个显示 fence_ilo_mp 的“identity_file”属性当前状态的文本输入框,允许用户编辑该属性。(BZ#832185)
* 在此更新之前,卸载 luci 程序包时,冗余文件和目录仍然保留在文件系统的 /var/lib/luci/var/pts 和 /usr/lib{,64}/luci/zope/var/pts 中。
此更新可在卸载 luci 程序包时删除这些文件和目录。(BZ#835649)
* 在此更新之前,“重启-禁用”恢复策略未显示在恢复策略列表中,因此用户不能在为故障转移域配置恢复策略时从中进行选择。因此,不能通过 luci GUI 设置“重启-禁用”恢复策略。此更新将“重启-禁用”恢复选项添加到恢复策略下拉列表中。(BZ#839732)
* 在此更新之前,“yum 列表”输出中非预期的换行符可在创建集群或添加节点到现有集群时引起程序包升级和/或安装失败。因此,创建集群以及添加集群节点到现有群集时失败。此更新修改了 ricci 后台程序,使其可正确处理“yum 列表”输出中的换行符。(BZ#842865)
此外,此更新还添加了以下增强:
* 此更新向 luci 程序包添加了对配置 Intel iPDU fence 代理的支持。(BZ#741986)
* 此更新向 FS 和集群 FS 资源代理配置屏幕添加了对查看和更改新“nfsrestart”属性状态的支持。(BZ#822633)
建议所有 conga 用户升级这些更新后的程序包,其中解决了这些问题并添加这些增强。安装此更新后,luci 和 ricci 服务将自动重新启动。
解决方案
更新受影响的 conga-debuginfo、luci 和/或 ricci 程序包。另见
http://www.nessus.org/u?0bf4cf68
https://access.redhat.com/errata/RHSA-2013:0128
https://access.redhat.com/security/updates/classification/#low
https://bugzilla.redhat.com/show_bug.cgi?id=607179
https://bugzilla.redhat.com/show_bug.cgi?id=832181
https://bugzilla.redhat.com/show_bug.cgi?id=832183
https://bugzilla.redhat.com/show_bug.cgi?id=832185
插件详情
严重性: Critical
ID: 64074
文件名: redhat-RHSA-2013-0128.nasl
版本: 1.17
类型: local
代理: unix
发布时间: 2013/1/24
最近更新时间: 2024/4/27
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
Vendor
Vendor Severity: Low
CVSS v2
风险因素: Low
基本分数: 3.7
时间分数: 2.7
矢量: CVSS2#AV:L/AC:H/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2012-3359
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:conga, cpe:/o:redhat:enterprise_linux:5, p-cpe:/a:redhat:enterprise_linux:ricci, p-cpe:/a:redhat:enterprise_linux:luci
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2013/1/8
参考资料信息
CVE: CVE-2012-3359
RHSA: 2013:0128