检测

Scientific Linux 安全更新:SL6.x i386/x86_64 中的 pacemaker

medium Nessus 插件 ID 71197

语言:

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

在 Pacemaker 于某些情况下执行认证和处理远程连接的方式中发现拒绝服务缺陷。当 Pacemaker 配置为允许远程群集信息库 (CIB) 配置或资源管理时,远程攻击者可利用此缺陷导致 Pacemaker 无限期阻断(阻止其服务于其他请求)。(CVE-2013-0281)

注意:Scientific Linux 6 中的默认 Pacemaker 配置禁用了远程 CIB 管理功能。

pacemaker 程序包已升级到上游版本 1.1.10,其提供了对之前版本的多项缺陷补丁和增强:

- Pacemaker 不再假设未知的 cman 节点会安全停止。

- 核心转储文件现在将所有退出代码转换为“errno”正值。

­ Pacemaker 确保隔离失败次数过多后恢复到稳定状态,并且在要求隔离的节点仍然活动时启动关机。

­ crm_error 工具添加了列出和打印错误符号的功能。

- crm_resource 命令可重新探测个别资源,并且实现“--ban”选项以让资源离开节点。“--clear”选项已替换“--unmove”选项。此外,现在使用“--force”选项时,crm_resource 支持 OCF 跟踪。

- IPC 机制恢复了 haclient 组成员连接到群集的功能。

- 策略引擎后台程序允许在没有 quorum 的情况下隔离当前成员关系中的活动节点。

- 现在显示匿名克隆状态时,策略引擎禁止无意义的 ID,支持单一节点的维护模式,并且正确处理在操作之前恢复的资源。

- 现在会检查 XML 配置文件文件是否包含非打印字符,在导出 XML 文本时将其替换为同等的八进制字符。此外,为防止锁定,已实现更可靠的缓冲区分配策略。

其他缺陷补丁:

- “crm_resource --move”命令设计用于原子资源,无法处理多个节点上存在的克隆资源、主资源或从资源。
 结果,crm_resource 无法获取足够的信息来移动资源,而且不执行任何操作。已添加“--ban”和“--clear”选项,允许管理员明确指示群集。克隆资源、主资源和从资源现在可在群集内按预期导航。

- hacluster 用户帐户没有在系统中保留用户标识 (UID) 或群组标识 (GID) 号。因此,在安装过程中随机选择 UID 和 GID 值。
 UID 和 GID 编号 189 以前为 hacluster 保留,现在统一用于所有安装。

- 某些群集使用的节点主机名与“uname -n”命令的输出不匹配。因此,crm_standby 和 crm_failcount 命令的默认节点不正确,导致群集忽略管理员的更新。现在帮助程序脚本中使用 crm_node 命令代替 uname 实用工具。
 因此,群集按预期运行。

- 由于返回代码处理错误,当更新后的配置应用失败时,不执行 crm_mon 实用工具的内部恢复逻辑,从而导致断言失败。现在可正确检查返回代码,预期错误状态的恢复也会透明处理。

- cman 的自动取消隔离功能在与 Pacemaker 结合使用时失败。Pacemaker 中已添加自动取消隔离支持,不需要的行为不会再发生。

解决方案

更新受影响的数据包。

另见

http://www.nessus.org/u?eccb4dcc

插件详情

严重性: Medium

ID: 71197

文件名: sl_20131121_pacemaker_on_SL6_x.nasl

版本: 1.6

类型: local

代理: unix

发布时间: 2013/12/4

最近更新时间: 2021/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.4

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:fermilab:scientific_linux:gfs2-utils, p-cpe:/a:fermilab:scientific_linux:clusterlib, p-cpe:/a:fermilab:scientific_linux:pacemaker-cli, p-cpe:/a:fermilab:scientific_linux:pacemaker-libs, p-cpe:/a:fermilab:scientific_linux:pacemaker-cluster-libs, p-cpe:/a:fermilab:scientific_linux:corosync, p-cpe:/a:fermilab:scientific_linux:pacemaker-cts, p-cpe:/a:fermilab:scientific_linux:corosynclib, p-cpe:/a:fermilab:scientific_linux:cman, p-cpe:/a:fermilab:scientific_linux:fence-agents, p-cpe:/a:fermilab:scientific_linux:corosynclib-devel, p-cpe:/a:fermilab:scientific_linux:pacemaker-debuginfo, p-cpe:/a:fermilab:scientific_linux:libqb, p-cpe:/a:fermilab:scientific_linux:libqb-devel, p-cpe:/a:fermilab:scientific_linux:clusterlib-devel, p-cpe:/a:fermilab:scientific_linux:luci, p-cpe:/a:fermilab:scientific_linux:pacemaker, p-cpe:/a:fermilab:scientific_linux:pacemaker-libs-devel, p-cpe:/a:fermilab:scientific_linux:pacemaker-remote, p-cpe:/a:fermilab:scientific_linux:pacemaker-doc, x-cpe:/o:fermilab:scientific_linux

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2013/11/21

漏洞发布日期: 2013/11/23

参考资料信息

CVE: CVE-2013-0281