检测

Scientific Linux 安全更新:SL7.x x86_64 中的 pacemaker

high Nessus 插件 ID 87568

语言:

简介

远程 Scientific Linux 主机缺少一个或多个安全更新。

描述

特定情况下在 pacemaker(一个群集资源管理器)评估添加的节点的方式中发现一个缺陷。具有只读访问权限的用户可能将任何其他现有角色分配给自己,然后向其他用户添加权限。(CVE-2015-1867)

pacemaker 程序包已升级到上游版本 1.1.13,其提供了对之前版本的多项缺陷补丁和增强。

此更新还修复以下缺陷:

- 如果 Pacemaker 群集包含 Apache 资源,那么启用 Apache 的 mod_systemd 模块后,系统会拒绝 Apache 发送的通知。因此,系统日志中会出现大量以下格式的错误:

收到来自 PID XXXX 的通知消息,但是,仅 PID YYYY 有权接收

通过此更新,lrmd 后台程序会在上述情况下取消设置“NOTIFY_SOCKET”变量,并且不会再记录这些错误消息。

- 以前,如果将远程客户机节点指定为 Pacemaker 群集中群组资源的一部分,将导致该节点停止工作。此次更新添加了对 Pacemaker 群组资源中远程客户机的支持,因而不会再出现上述问题。

- 如果 Pacemaker 群集中的某个资源启动失败,即便使用“on-fail=ignore”选项,Pacemaker 仍然会更新该资源的上次失败时间,并增加其失败计数。在某些情况下,这会造成资源启动失败时发生意外资源迁移。现在,使用“on-fail=ignore”时,Pacemaker 将不再更新失败计数。现在,群集状态输出中会显示该失败,但会适当对其进行忽略,因而不会导致资源迁移。

- 以前,Pacemaker 解析 pcmk_host_map 字符串时支持分号(“;”)作为分隔符,但解析 pcmk_host_list 字符串时则不支持。
 为了确保一致的用户体验,现在解析 pcmk_host_list 时也支持分号作为分隔符。

此外,此更新还添加了以下增强:

- 现在,如果 Pacemaker 位置限制具有“resource-discovery=never”选项,Pacemaker 不会尝试确定指定服务是否在指定节点上运行。此外,如果给定资源的多个位置限制指定“resource-discovery=exclusive”,那么 Pacemaker 仅在这些限制中所指定的节点上尝试资源发现。因此,如果在某些节点上尝试该操作导致错误或其他不良问题,Pacemaker 可以跳过对这些节点的资源发现。

- 已简化针对冗余电源供应的配置隔离过程,以防止多个节点同时访问群集资源而导致数据损坏。有关详细信息,请参阅“高可用性附加组件”参考手册的“隔离:配置 STONITH”一章。

- 已修改“crm_mon”和“pcs_status”命令的输出,使其更加简明扼要,以便在报告包含大量远程节点和克隆资源的 Pacemaker 群集状态时,更加清晰可读。

解决方案

更新受影响的数据包。

另见

http://www.nessus.org/u?5cc5618c

插件详情

严重性: High

ID: 87568

文件名: sl_20151119_pacemaker_on_SL7_x.nasl

版本: 2.5

类型: local

代理: unix

发布时间: 2015/12/22

最近更新时间: 2021/1/14

支持的传感器: Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.5

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P

漏洞信息

CPE: p-cpe:/a:fermilab:scientific_linux:pacemaker, p-cpe:/a:fermilab:scientific_linux:pacemaker-cli, p-cpe:/a:fermilab:scientific_linux:pacemaker-cluster-libs, p-cpe:/a:fermilab:scientific_linux:pacemaker-cts, p-cpe:/a:fermilab:scientific_linux:pacemaker-debuginfo, p-cpe:/a:fermilab:scientific_linux:pacemaker-doc, p-cpe:/a:fermilab:scientific_linux:pacemaker-libs, p-cpe:/a:fermilab:scientific_linux:pacemaker-libs-devel, p-cpe:/a:fermilab:scientific_linux:pacemaker-nagios-plugins-metadata, p-cpe:/a:fermilab:scientific_linux:pacemaker-remote, x-cpe:/o:fermilab:scientific_linux

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2015/11/19

漏洞发布日期: 2015/8/12

参考资料信息

CVE: CVE-2015-1867