检测

RHEL 6:Virtualization Manager (RHSA-2016:1929)

medium Nessus 插件 ID 93681

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

org.ovirt.engine-root 的更新现在可用于 RHEV Manager 版本 3.6。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。Red Hat Virtualization Manager 是允许系统管理员查看和管理虚拟机的集中式管理平台。Manager 可提供全面的功能,包括搜索功能、资源管理、实时迁移和虚拟基础架构设置。Manager 是 JBoss Application Server 应用程序,该应用程序提供了多个界面,可通过这些界面访问虚拟环境并与之交互,其中包括管理门户、用户门户以及表述性状态转移 (REST) 应用程序编程接口 (API)。安全修复:* 在 RHEV Manager 中发现一个缺陷,会将敏感数据写入引擎设置日志文件。本地攻击者可恶意利用此缺陷,查看诸如加密密钥和凭证等敏感信息(之后可能会被用来窃取密码等其他敏感信息)。(CVE-2016-4443) 此问题的发现者为 Simone Tiraboschi (Red Hat)。缺陷修复:* 应用此更新后,会警告用户在运行引擎设置命令前,先将系统设定为全域维护模式。这是因为如果没有先设定系统进入全域维护模式就运行引擎设置命令,可能会发生数据损毁。此更新会警告用户,且如果系统未设为全域维护模式即在托管引擎配置中运行引擎,更新会中止设置。(BZ#1359844) * 之前,通过客户机代理安装包含多部运行虚拟机的集群兼容性更新版本时会造成死锁,导致更新失败。在某些情况下,这些集群无法升级至较新的兼容性版本。现在已可避免数据库中的死锁情况,因此在使用客户机代理安装包含多部运行虚拟机的集群时,可成功升级至较新的兼容性版本。(BZ#1369415) * 之前,若储存在数据库中的虚拟机具有 null CPU 配置文件 id,编辑该虚拟机时会造成 NPE。现在已可正确处理保存在数据库中具有 null CPU 配置文件 id 的虚拟机,并可编辑虚拟机。(BZ#1373090) * 仅设置节能/平均分布式内存型平衡(高或低)的其中一个阈值时,会导致非预期结果。例如,在节能负载中,针对平衡过度利用内存的主机设定一个阈值,而低利用率内存的主机则没有定义阈值,因此默认值为 0。所有主机均被视为内存低使用率的主机并选为迁移来源,但却没有主机被选为迁移目的地。此问题现已修复,当内存低使用率的主机未定义阈值时,默认值会设为 Long.MAX。现在,当内存过度利用的主机设置阈值时,而内存低使用率的主机未定义阈值时,只会选择内存过度利用的主机作为迁移来源,并以内存低使用率的主机作为目的地主机。(BZ#1359767) * 之前,最近新增的打印主机上运行虚拟机数量的日志,其写入日志文件的次数过于频繁。现在已减少这些日志的频率,只有当主机上运行的虚拟机数量发生变化时才会打印。(BZ#1367519)

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/errata/RHSA-2016:1929

https://access.redhat.com/security/cve/cve-2016-4443

插件详情

严重性: Medium

ID: 93681

文件名: redhat-RHSA-2016-1929.nasl

版本: 2.11

类型: local

代理: unix

发布时间: 2016/9/23

最近更新时间: 2019/10/24

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Low

基本分数: 2.1

时间分数: 1.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

CVSS v3

风险因素: Medium

基本分数: 5.5

时间分数: 4.8

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:rhevm-lib, p-cpe:/a:redhat:enterprise_linux:rhevm-extensions-api-impl, p-cpe:/a:redhat:enterprise_linux:rhevm-websocket-proxy, cpe:/o:redhat:enterprise_linux:6, p-cpe:/a:redhat:enterprise_linux:rhevm-tools-backup, p-cpe:/a:redhat:enterprise_linux:rhevm-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-websocket-proxy, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-base, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-ovirt-engine, p-cpe:/a:redhat:enterprise_linux:rhevm-setup, p-cpe:/a:redhat:enterprise_linux:rhevm-tools, p-cpe:/a:redhat:enterprise_linux:rhevm-webadmin-portal, p-cpe:/a:redhat:enterprise_linux:rhevm-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhevm-extensions-api-impl-javadoc, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-ovirt-engine-common, p-cpe:/a:redhat:enterprise_linux:rhevm-userportal-debuginfo, p-cpe:/a:redhat:enterprise_linux:rhevm-webadmin-portal-debuginfo, p-cpe:/a:redhat:enterprise_linux:rhevm-backend, p-cpe:/a:redhat:enterprise_linux:rhevm-restapi, p-cpe:/a:redhat:enterprise_linux:rhevm, p-cpe:/a:redhat:enterprise_linux:rhevm-userportal

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2016/9/21

漏洞发布日期: 2016/12/14

参考资料信息

CVE: CVE-2016-4443

RHSA: 2016:1929