CentOS 6:pacemaker (CESA-2015:1424)
high Nessus 插件 ID 85020
语言:
简介
远程 CentOS 主机缺少一个或多个安全更新。描述
更新后的 pacemaker 程序包修复了一个安全问题和多个缺陷,现在可用于 Red Hat Enterprise Linux 6。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
Pacemaker Resource Manager 是一系列技术,这些技术共同作用以提供数据完整性,并在发生错误时维护应用程序可用性。
特定情况下在 pacemaker(一个群集资源管理器)评估添加的节点的方式中发现一个缺陷。具有只读访问权限的用户可能将任何其他现有角色分配给自己,然后向其他用户添加权限。(CVE-2015-1867)
此更新还修复以下缺陷:
* 由于一处争用条件,平稳关闭的节点有时无法重新加入群集。因此,节点可能在上线后立即被群集再次关闭。此缺陷已修复,“关闭”属性现在可正确清除。(BZ#1198638)
* 在此更新之前,在对 Red Hat Enterprise Linux 6.6 进行系统更新后,pacemaker 实用工具后会导致 attrd 后台程序意外终止。此缺陷已修复,现在 packmaker 启动时 attrd 不会再崩溃。(BZ#1205292)
* 以前,pacemaker 实用工具的访问控制列表 (ACL) 允许使用只读权限向群集信息库 (CIB) 分配角色。此更新已修复该缺陷,更新后强制使用 ACL,没有写入权限的用户将无法绕过。(BZ#1207621)
* 在此更新之前,使用 pacemaker 实用工具时,ClusterMon (crm_mon) 实用工具不会使用“-E”参数触发外部代理脚本以监控群集信息库 (CIB)。已提供修补程序修复此缺陷,现在 crm_mon 会在使用“-E”参数时调用代理脚本。(BZ#1208896)
建议 pacemaker 用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序。
解决方案
更新受影响的 pacemaker 程序包。另见
插件详情
严重性: High
ID: 85020
文件名: centos_RHSA-2015-1424.nasl
版本: 2.9
类型: local
代理: unix
发布时间: 2015/7/28
最近更新时间: 2021/1/4
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2015-1867
漏洞信息
CPE: p-cpe:/a:centos:centos:pacemaker, p-cpe:/a:centos:centos:pacemaker-cli, p-cpe:/a:centos:centos:pacemaker-cluster-libs, p-cpe:/a:centos:centos:pacemaker-cts, p-cpe:/a:centos:centos:pacemaker-doc, p-cpe:/a:centos:centos:pacemaker-libs, p-cpe:/a:centos:centos:pacemaker-libs-devel, p-cpe:/a:centos:centos:pacemaker-remote, cpe:/o:centos:centos:6
必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2015/7/26
漏洞发布日期: 2015/8/12
参考资料信息
CVE: CVE-2015-1867
BID: 74231
RHSA: 2015:1424