检测

RHEL 7 : org.ovirt.engine-root (RHSA-2016:1967)

low Nessus 插件 ID 93805

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

org.ovirt.engine-root 的更新现在可用于 RHEV Engine 版本 4.0。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。Red Hat Virtualization Manager 是允许系统管理员查看和管理虚拟机的集中式管理平台。Manager 可提供全面的功能,包括搜索功能、资源管理、实时迁移和虚拟基础架构设置。Manager 是 JBoss Application Server 应用程序,该应用程序提供了多个界面,可通过这些界面访问虚拟环境并与之交互,其中包括管理门户、用户门户以及表述性状态转移 (REST) 应用程序编程接口 (API)。安全修复:* 据发现,ovirt-engine-provisiondb 实用工具无法在将用于 '--provision*db' 选项的验证详情保存到日志文件前,从输出中正确清理这些资料。这会让具有读取权限的攻击者访问这些日志文件,以获取诸如密码等敏感信息。(CVE-2016-5432) 此问题的发现者为 Yedidyah Bar David (Red Hat)。缺陷修复:* 之前,检查 CPU 配置文件的权限时,并未考虑到群组权限。属于群组成员的用户无法指定 CPU 配置文件,因此也无法启动虚拟机。这个问题已通过检查权限时使用 PermissionDao 和正确的 SQL 功能解决,因此也会将群组权限考虑在内。(BZ#1371888) * 仅设置节能/平均分布式内存型平衡(高或低)的其中一个阈值时,会导致非预期结果。例如,在节能负载中,针对平衡过度利用内存的主机设定一个阈值,而低利用率内存的主机则没有定义阈值,因此默认值为 0。所有主机均被视为内存低使用率的主机并选为迁移来源,但却没有主机被选为迁移目的地。此问题现已修复,当内存低使用率的主机未定义阈值时,默认值会设为 Long.MAX。现在,当内存过度利用的主机设置阈值时,而内存低使用率的主机未定义阈值时,只会选择内存过度利用的主机作为迁移来源,并以内存低使用率的主机作为目的地主机。(BZ#1354281) * 此更新确保 VDSM 和 Memory Overcommit Manager (MoM) 会使用发送给 VDSM 服务的服务质量 (QoS) 储存值。因此,QoS 可即时应用在虚拟机上,所有 MoM 相关的虚拟机变更只有在内存扩展设备在虚拟机上启用时才会应用。(BZ#1328731) 增强功能:* 之前,我们可能会安装错误的 virtio 驱动版本,特别是执行较旧的 Windows 操作系统时。这时如果特定驱动版本与 Windows 版本不兼容,有时会造成客户机意外终止并出现停止错误,即出现所谓的“蓝屏死机”。此更新在驱动文件中加入目标 OS 的版本信息,使 Windows 在指向 virtio-win CD 图像的根时,可自动选择最佳驱动。现在已不可能再发生手动安装不兼容驱动版本的情况,因为如果尝试安装错误版本,Windows 会显示错误消息提醒用户。(BZ#1328181) * 发行此版本后,Red Hat Virtualization 现在可以支持使用 CephFS 作为 POSIX 存储域。(BZ#1095615)

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/errata/RHSA-2016:1967

https://access.redhat.com/security/cve/cve-2016-5432

插件详情

严重性: Low

ID: 93805

文件名: redhat-RHSA-2016-1967.nasl

版本: 2.11

类型: local

代理: unix

发布时间: 2016/9/30

最近更新时间: 2019/10/24

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 1.4

CVSS v2

风险因素: Low

基本分数: 2.1

时间分数: 1.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

CVSS v3

风险因素: Low

基本分数: 3.3

时间分数: 2.9

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:ovirt-engine, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-backend, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-dbscripts, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-extensions-api-impl, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-extensions-api-impl-javadoc, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-lib, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-restapi, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-base, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-ovirt-engine, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-ovirt-engine-common, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-setup-plugin-websocket-proxy, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-tools, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-tools-backup, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-userportal, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-userportal-debuginfo, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-vmconsole-proxy-helper, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-webadmin-portal, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-webadmin-portal-debuginfo, p-cpe:/a:redhat:enterprise_linux:ovirt-engine-websocket-proxy, p-cpe:/a:redhat:enterprise_linux:rhevm, cpe:/o:redhat:enterprise_linux:7

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2016/9/28

漏洞发布日期: 2016/10/3

参考资料信息

CVE: CVE-2016-5432

RHSA: 2016:1967