检测

插件

RHEL 6：Red Hat Gluster Storage 3.2.0 (RHSA-2017:0484)

high Nessus 插件 ID 97928

语言：

简介

远程 Red Hat 主机缺少安全更新。

描述

远程 Redhat Enterprise Linux 6 主机上安装的程序包受到 RHSA-2017:0484 公告中提及的漏洞的影响。

Red Hat Gluster Storage 是一款纯软件向外扩展存储解决方案，提供灵活而实惠的非结构化数据存储。它能够统一数据存储和基础架构，提高性能，优化可用性和可管理性，以应对企业级的存储挑战。

下列程序包已升级到更新的上游版本：glusterfs (3.8.4)、redhat-storage-server (3.2.0.3)。 (BZ#1362373)

安全修复：

* 已发现 glusterfs-server RPM 程序包会将具有可预测名称的文件写入全局可读的 / tmp 目录。本地攻击者可能会利用此缺陷，通过在安装 glusterfs-server 程序包期间修改 shell 脚本，以提升其权限。
(CVE-2015-1795)

此问题由 Red Hat 产品安全的 Florian Weimer 发现。

错误修复：

* 如果服务器 quorum 不再相符，或如果禁用服务器 quorum，则程序块保持停止状态，以确保维护中的程序块不会错误开启。(BZ#1340995)

* 已更新元数据缓冲转换器，可提高 Red Hat Gluster Storage 读取小文件时的性能。(BZ#1427783)

* 当副本计数增加且无任何可用的副本程序块时，不再允许 ‘gluster volume add-brick’ 命令。(BZ#1404989)

* 无论是否启用客户端修复或自动修复守护进程，分区解决方案命令都会有效。(BZ#1403840)

增强功能：

* Red Hat Gluster Storage 现在为 Samba 和 NFS-Ganesha 提供传输层安全支持。
（BZ#1340608、BZ#1371475）

* 新 reset-sync-time 选项可在需要时将同步时间属性重置为零。
(BZ#1205162)

* 分层降级现在最多会于高水位线泄露事件发生后 5 秒触发。管理员可使用 cluster.tier-query-limit volume 参数，指定降级期间从热数据库中提取记录的数量。(BZ#1361759)

* /var/log/glusterfs/etc-glusterfs-glusterd.vol.log 现在命名为 /var/log/glusterfs/glusterd.log。
(BZ#1306120)

* 有了新命令 ‘gluster volume tier VOLNAME attach/detach’ 之后，‘gluster volume attach-tier/detach-tier’ 命令视为弃用。(BZ#1388464)

* Red Hat Gluster Storage 不再使用 anesha-ha.conf 文件中的 HA_VOL_SERVER 参数。()
(BZ#1348954)

* 当某一服务器不可用时，volfile 服务器角色现在可传至另一服务器。(BZ#1351949)

* 现在可复用其他服务不再使用的端口。(BZ#1263090)

* 重新平衡进程的线程池限制现在为动态，并基于可用核心数量确定。(BZ#1352805)

* 重启时的程序块验证现在使用 UUID，而非程序块路径。(BZ#1336267)

(BZ# 1336267) * LOGIN_NAME_MAX 现在可用作从属用户的最大长度，而非 __POSIX_LOGIN_NAME_MAX，其允许达到包括空字节在内的 256 个字符。(BZ#1400365)

* 客户端标识符现在包括在日志消息中，可轻松确定连接失败的客户端。(BZ#1333885)

Tenable 已直接从 Red Hat Enterprise Linux 安全公告中提取上述描述块。

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?b5a22bf1

http://www.nessus.org/u?f05653c3

https://access.redhat.com/errata/RHSA-2017:0484

https://access.redhat.com/security/updates/classification/#moderate

https://bugzilla.redhat.com/show_bug.cgi?id=1200927

https://bugzilla.redhat.com/show_bug.cgi?id=1362373

https://bugzilla.redhat.com/show_bug.cgi?id=1375059

https://bugzilla.redhat.com/show_bug.cgi?id=1382319

https://bugzilla.redhat.com/show_bug.cgi?id=1403587

https://bugzilla.redhat.com/show_bug.cgi?id=1403919

https://bugzilla.redhat.com/show_bug.cgi?id=1404551

https://bugzilla.redhat.com/show_bug.cgi?id=1424944

https://bugzilla.redhat.com/show_bug.cgi?id=1425748

https://bugzilla.redhat.com/show_bug.cgi?id=1432972

插件详情

严重性: High

ID: 97928

文件名: redhat-RHSA-2017-0484.nasl

版本: 3.14

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2017/3/24

最近更新时间: 2025/4/15

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Continuous Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

Vendor

Vendor Severity: Moderate

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 5.3

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS 分数来源: CVE-2015-1795

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 6.8

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:glusterfs-client-xlators, p-cpe:/a:redhat:enterprise_linux:glusterfs-api-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs, p-cpe:/a:redhat:enterprise_linux:glusterfs-rdma, p-cpe:/a:redhat:enterprise_linux:glusterfs-events, p-cpe:/a:redhat:enterprise_linux:glusterfs-libs, p-cpe:/a:redhat:enterprise_linux:glusterfs-api, p-cpe:/a:redhat:enterprise_linux:glusterfs-ganesha, p-cpe:/a:redhat:enterprise_linux:glusterfs-cli, p-cpe:/a:redhat:enterprise_linux:glusterfs-server, p-cpe:/a:redhat:enterprise_linux:python-gluster, p-cpe:/a:redhat:enterprise_linux:glusterfs-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-geo-replication, p-cpe:/a:redhat:enterprise_linux:glusterfs-fuse, p-cpe:/a:redhat:enterprise_linux:redhat-storage-server, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2017/3/23

漏洞发布日期: 2017/6/27

参考资料信息

CVE: CVE-2015-1795

CWE: 377

RHSA: 2017:0484