RHEL 7:pacemaker (RHSA-2015:2383)
critical Nessus 插件 ID 86987
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
更新后的 pacemaker 程序包修复了一个安全问题和若干缺陷,并添加了两项增强,现在可用于Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
Pacemaker Resource Manager 是一系列技术,这些技术共同作用以提供数据完整性,并在发生错误时维护应用程序可用性。
特定情况下在 pacemaker(一个群集资源管理器)评估添加的节点的方式中发现一个缺陷。具有只读访问权限的用户可能将任何其他现有角色分配给自己,然后向其他用户添加权限。(CVE-2015-1867)
pacemaker 程序包已升级到上游版本 1.1.13,其提供了对之前版本的多项缺陷补丁和增强。(BZ#1234680)
此更新还修复以下缺陷:
* 如果 Pacemaker 群集包含 Apache 资源,那么启用 Apache 的 mod_systemd 模块后,系统会拒绝 Apache 发送的通知。因此,系统日志中会出现大量以下格式的错误:
收到来自 PID XXXX 的通知消息,但是,仅 PID YYYY 有权接收
通过此更新,lrmd 后台程序会在上述情况下取消设置“NOTIFY_SOCKET”变量,并且不会再记录这些错误消息。(BZ#1150184)
* 以前,如果将远程客户机节点指定为 Pacemaker 群集中群组资源的一部分,将导致该节点停止工作。此次更新添加了对 Pacemaker 群组资源中远程客户机的支持,因而不会再出现上述问题。(BZ#1168637)
* 如果 Pacemaker 群集中的某个资源启动失败,即便使用“on-fail=ignore”选项,Pacemaker 仍然会更新该资源的上次失败时间,并增加其失败计数。在某些情况下,这会造成资源启动失败时发生意外资源迁移。现在,使用“on-fail=ignore”时,Pacemaker 将不再更新失败计数。现在,群集状态输出中会显示该失败,但会适当对其进行忽略,因而不会导致资源迁移。(BZ#1200849)
* 以前,Pacemaker 解析 pcmk_host_map 字符串时支持分号(“;”)作为分隔符,但解析 pcmk_host_list 字符串时则不支持。为了确保一致的用户体验,现在解析 pcmk_host_list 时也支持分号作为分隔符。(BZ#1206232)
此外,此更新还添加了以下增强:
* 现在,如果 Pacemaker 位置限制具有“resource-discovery=never”选项,Pacemaker 不会尝试确定指定服务是否在指定节点上运行。此外,如果针对给定资源存在多个位置限制指定“resource-discovery=exclusive”,那么 Pacemaker 仅在这些限制中所指定的节点上尝试资源发现。因此,如果在某些节点上尝试该操作导致错误或其他不良问题,Pacemaker 可以跳过对这些节点的资源发现。(BZ#1108853)
* 已简化针对冗余电源供应的配置隔离过程,以防止多个节点同时访问群集资源导致数据损坏。
有关详细信息,请参阅“高可用性附加组件”参考手册的“隔离:配置 STONITH”一章。(BZ#1206647)
* 已修改“crm_mon”和“pcs_status”命令的输出,使其更加简明扼要,以便在报告包含大量远程节点和克隆资源的 Pacemaker 群集状态时,更加清晰可读。(BZ#1115840)
建议所有 pacemaker 用户升级这些更新后的程序包,其中修正了这些问题并添加这些增强。
解决方案
更新受影响的数据包。另见
http://www.nessus.org/u?895734dd
https://access.redhat.com/errata/RHSA-2015:2383
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1162727
https://bugzilla.redhat.com/show_bug.cgi?id=1172539
https://bugzilla.redhat.com/show_bug.cgi?id=1182244
https://bugzilla.redhat.com/show_bug.cgi?id=1182614
https://bugzilla.redhat.com/show_bug.cgi?id=1187321
https://bugzilla.redhat.com/show_bug.cgi?id=1194475
https://bugzilla.redhat.com/show_bug.cgi?id=1200785
https://bugzilla.redhat.com/show_bug.cgi?id=1200849
https://bugzilla.redhat.com/show_bug.cgi?id=1203053
https://bugzilla.redhat.com/show_bug.cgi?id=1205188
https://bugzilla.redhat.com/show_bug.cgi?id=1206232
https://bugzilla.redhat.com/show_bug.cgi?id=1211370
https://bugzilla.redhat.com/show_bug.cgi?id=1211833
https://bugzilla.redhat.com/show_bug.cgi?id=1212647
https://bugzilla.redhat.com/show_bug.cgi?id=1225854
https://bugzilla.redhat.com/show_bug.cgi?id=1234680
插件详情
严重性: Critical
ID: 86987
文件名: redhat-RHSA-2015-2383.nasl
版本: 2.11
类型: local
代理: unix
发布时间: 2015/11/20
最近更新时间: 2025/4/15
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
Vendor
Vendor Severity: Moderate
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2015-1867
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:pacemaker-cts, p-cpe:/a:redhat:enterprise_linux:pacemaker-libs, p-cpe:/a:redhat:enterprise_linux:pacemaker-libs-devel, cpe:/o:redhat:enterprise_linux:7, p-cpe:/a:redhat:enterprise_linux:pacemaker-doc, p-cpe:/a:redhat:enterprise_linux:pacemaker-cluster-libs, p-cpe:/a:redhat:enterprise_linux:pacemaker-nagios-plugins-metadata, p-cpe:/a:redhat:enterprise_linux:pacemaker-cli, p-cpe:/a:redhat:enterprise_linux:pacemaker-remote, p-cpe:/a:redhat:enterprise_linux:pacemaker
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2015/11/19
漏洞发布日期: 2015/8/12
参考资料信息
CVE: CVE-2015-1867