openSUSE 安全更新:openstack-dashboard (openSUSE-SU-2015:0078-1)

medium Nessus 插件 ID 80842

简介

远程 openSUSE 主机缺少安全更新。

描述

已更新 OpenStack Dashboard,修复了缺陷和安全问题。

完整变更:

- 更新到版本 horizon-2013.2.5.dev2.g9ee7273:

- 修复了 Horizon 登录页面 DOS 攻击(bnc#908199,CVE-2014-8124)

- 将版本更新到 2013.2.5

- 依据全局要求进行更新

- 将 docutils 固定到 0.9.1

- 在 tox.ini 中将 python 哈希种子设为 0

- 在每个可用性区域中检查主机是否不是“无”

- 修复 unordered_list 过滤器中的 XSS 问题(bnc#891815,CVE-2014-3594)

+ 0001-Use-default_project_id-for-v3-users.patch(手动)

- 在测试中将 UserManager 替换为“无”

- 更新测试要求以修复 sphinx build_doc

- 修复多种跨站脚本 (XSS) 漏洞(bnc#885588,CVE-2014-3473,CVE-2014-3474,CVE-2014-3475)

- 修复导入登录表单的问题

缺陷 869696 - Horizon Dashboard 中的管理员密码注入中断。

- 更新到版本 horizon-2013.2.4.dev8.g07c097f:

- 在 neutron 的 API 中进行缺陷修复,以返回正确的目标 ID

- 修复 Rebuild Instance 中的图像显示

- 从 Neutron 获取实例网络信息

- 将稳定/havana 下一版本升级到 2013.2.4

- 在解除关联操作之后不释放 FIP

- 在 Horizon/Orchestration 2013.2.3 中引入转义(bnc#871855,CVE-2014-0157)

- 更新到版本 horizon-2013.2.3.dev8.g3d04c3c:

- 减少 novaclient 调用的次数

- 升级风格时,不复制 flavorid

- 允许对已暂停和挂起的实例进行快照

- 修复测试,从而与 keystoneclient 0.6.0 一起使用

- 将稳定/havana 下一版本升级到 2013.2.3

+ 将上游 URL 作为来源(启用验证)

+ 导入 Havana 2013.2.2 更新的转换

- 更新到版本 2013.2.2.dev29.g96bd650:

+ 更新 havana 的 Transifex 资源名称

+ 修复负载平衡的 Horizon 中的不当注销

- 更新到版本 2013.2.2.dev25.g6508afd:

+ 禁用 cinder 时,禁用卷创建

+ 检查错误的工作流程步骤:has_required_fields

+ 在检索 LBaaS/VPNaaS 资源时,指定 tenant_id

- 更新到版本 2013.2.2.dev19.g7a8eadc:

+ 为 HealthMonitor 提供适当的显示名称

- 更新到版本 2013.2.2.dev17.gaa55b24:

+ 普通 keystone 版本回退

- 将 settings.py(默认设置)移至 branding-upstream 子程序包:branding 程序包可能要更改某些默认设置。

- 添加 0001-Common-keystone-version-fallback.patch,0001-Use-default_project_id-for-v3-users.patch

- 更新到版本 2013.2.2.dev15.g2b6dfa7:

+ 修复了“创建图像”窗口中帮助文本

+ 更改 scrollShift 的计算方法

+ 统一 keypair 名称处理

- 添加 0001-Give-no-background-color-to-the-pie-charts.patch:
不为饼图添加背景色。

- 更新到版本 2013.2.2.dev9.gc6d38a1:

+ 向 keystone 发送的标记有误

- 更新到版本 2013.2.2.dev7.g2e11482:

+ 将 management_url 添加至测试 mock 客户端

- 添加 0001-Bad-workflow-steps-check-has_required_fields.patch

- 使 python-horizon 要求 python-horizon-branding 的 2013.2 版本(而不是 2013.2.xyz 版本)。从而更容易创建非上游 branding;我们已为其他 branding 子程序包采取这种措施。

- 更新到版本 2013.2.2.dev6.g2c1f1f3:

+ 为 BlockDeviceMappingV2 nova 扩展添加检查

+ 从容处理没有电子邮件属性的用户

+ 从 oslo 导入 install_venv

- 将稳定/havana 下一版本升级到 2013.2.2

- 更新到版本 2013.2.1.dev41.g9668e80:

+ 依据全局要求进行更新

- 将所有内容放在 /srv/www/openstack-dashboard 下

- 更新到版本 2013.2.1.dev40.g852e5c8:

+ 导入 Havana 2013.2.1 更新的翻译

+ 从资源使用情况页面删除统计数据表

+ 允许 spinner 中的“工作”具备可转换性

+ lbaas/horizon - 创建 lb 时添加 tcp 协议选择

+ 修复一个缺陷,LBaaS 中的某些可选字段是必填字段

+ 修复缺陷,从而转义的 html 不在卷分离对话框中显示

+ 角色名不应在域组对话框中进行转换

+ 修复对“更新成员”小部件的不完整转换

+ 修复“已注入的文件路径字节”中可转换的字符串

+ 将额外的扩展文件添加至 makemessage 命令行

+ 将上下文标记添加至 BatchAction 消息

+ 在用户自己更改密码之后,将用户注销

+ 添加 iso8601 模块的登录配置

+ 确保所有计算器均在下拉内容中列出

+ 在显示来自 Nova 的字符串之前,通过对其进行转义修复缺陷(bnc#852175,CVE-2013-6858)

- 添加/使用通用的 openstack-branding 内容

- 更新到版本 2013.2.1.dev9.g842ba5f:

+ 修复安全组模板中 MS SQL 的默认端口

+ 为 instance:<type> 指示器提供缺失的悬停提示

+ 翻译文本:“子网”/“子网详情”

+ 将“租户”改为“项目”

+ 避免放弃计量数据的精确度

- 将 Django 的 signed_cookies 会话后端用作上游,并终止使用 cache_db

- 无需再设置 SECRET_KEY,上游也对此有所了解

python-django_openstack_auth 已更新到 1.1.3:

- 各种 i18n 补丁

- 注销或变更租户时,撤销标记

- 在本地运行测试,从而将测试程序包合并到 main

- 正确构建并安装 HTML 文档

- 添加 pt_BR 区域设置

- 已更新(构建)要求

- 添加 django_openstack_auth-hacking-requires.patch:
hacking dep 无意义

- 包含测试运行程序

- 添加 -test 子程序包

解决方案

更新受影响的 openstack-dashboard 程序包。

另见

https://bugzilla.opensuse.org/show_bug.cgi?id=852175

https://bugzilla.opensuse.org/show_bug.cgi?id=869696

https://bugzilla.opensuse.org/show_bug.cgi?id=871855

https://bugzilla.opensuse.org/show_bug.cgi?id=885588

https://bugzilla.opensuse.org/show_bug.cgi?id=891815

https://bugzilla.opensuse.org/show_bug.cgi?id=908199

https://lists.opensuse.org/opensuse-updates/2015-01/msg00040.html

插件详情

严重性: Medium

ID: 80842

文件名: openSUSE-2015-39.nasl

版本: 1.4

类型: local

代理: unix

发布时间: 2015/1/20

最近更新时间: 2021/1/19

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus

风险信息

VPR

风险因素: Low

分数: 3.8

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N

漏洞信息

CPE: p-cpe:/a:novell:opensuse:openstack-dashboard, p-cpe:/a:novell:opensuse:openstack-dashboard-branding-upstream, p-cpe:/a:novell:opensuse:openstack-dashboard-test, p-cpe:/a:novell:opensuse:python-django_openstack_auth, p-cpe:/a:novell:opensuse:python-horizon, p-cpe:/a:novell:opensuse:python-horizon-branding-upstream, cpe:/o:novell:opensuse:13.1

必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list

补丁发布日期: 2015/1/10

参考资料信息

CVE: CVE-2013-6858, CVE-2014-0157, CVE-2014-3473, CVE-2014-3474, CVE-2014-3475, CVE-2014-3594, CVE-2014-8124