CentOS 7:virt-who (CESA-2015:0430)
low Nessus 插件 ID 81895
语言:
简介
远程 CentOS 主机缺少安全更新。描述
更新后的 virt-who 程序包修复了一个安全问题和多个缺陷并添加了多项增强,现在可用于 Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
virt-who 程序包提供了代理,该代理会收集有关系统中现存的虚拟客户机的信息,并将这些信息报告给订阅管理器。
已发现 /etc/sysconfig/virt-who 配置文件全局可读,其中可能包含管理程序的认证凭据。本地用户可利用此缺陷获取该文件中的认证凭据。(CVE-2014-0189)
Red Hat 在此感谢 Sal Castiglione 报告此问题。
virt-who 程序包已升级到上游版本 0.11,其提供了对之前版本的多项缺陷补丁和增强。最显著的缺陷补丁和增强包括:
* 针对远程 libvirt 的支持。* 针对使用加密密码的补丁。* 可增加 virt-who 稳定性的缺陷补丁和增强。
(BZ#1122489)
此更新还修复以下缺陷:
* 在此更新之前,virt-who 代理无法读取 VDSM 后台程序提供的虚拟客户机列表。因此,当处于 VDSM 模式时, virt-who 代理无法向订阅资产管理器 (SAM) 和 Red Hat Satellite 发送关于虚拟客户机的更新。通过此更新,代理可处于 VDSM 模式时正确地读取客户机列表,并按预期将其报告给 SAM 和 Satellite。
(BZ#1153405)
* 以前,virt-who 在连接到 Red Hat Satellite 5 时使用的信息不正确。因此,virt-who 无法连接到 Red Hat Satellite 5 服务器。错误参数已修正,并且 virt-who 现在可以成功连接到 Red Hat Satellite 5。
(BZ#1158859)
* 在此更新之前,virt-who 无法在解密密码前对其十六进制的表达形式进行解码。因此,解密的密码与原始密码不匹配,而使用密码尝试进行的连接则失败。 virt-who 已更新,可解码加密的密码,因此,virt-who 现在能够按预期使用加密的密码来处理存储的凭据。
(BZ#1161607)
此外,此更新还添加了以下增强:
* 通过此更新,virt-who 能够从远程 libvirt 管理程序中读取客户机列表。(BZ#1127965)
建议 virt-who 用户升级此更新后的程序包,其中修正了这些问题并添加这些增强。
解决方案
更新受影响的 virt-who 程序包。另见
插件详情
严重性: Low
ID: 81895
文件名: centos_RHSA-2015-0430.nasl
版本: 1.6
类型: local
代理: unix
发布时间: 2015/3/18
最近更新时间: 2021/1/4
支持的传感器: Agentless Assessment, Continuous Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Low
基本分数: 2.1
矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N
CVSS 分数来源: CVE-2014-0189
漏洞信息
CPE: cpe:/o:centos:centos:7, p-cpe:/a:centos:centos:virt-who
必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
补丁发布日期: 2015/3/17
漏洞发布日期: 2014/5/2
参考资料信息
CVE: CVE-2014-0189
RHSA: 2015:0430