RHEL 7 : glusterfs (RHSA-2018:3432)

high Nessus 插件 ID 118583

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 glusterfs 程序包修复多个安全问题及缺陷,现可用于 Red Hat Enterprise Linux 7 上的 Red Hat Gluster Storage 3.4。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。GlusterFS 是 Red Hat Gluster Storage 的关键构建基块。它基于可堆叠的用户空间设计,可为不同的工作负载提供出色的性能。GlusterFS 通过网络互连将各种存储服务器聚合为一个大型的并行网络文件系统。安全修复:* glusterfs:通过相关路径的符号链接可利用 glusterfs 服务器 (CVE-2018-14651) * glusterfs:'features/locks’ 翻译器中的缓冲区溢出允许拒绝服务 (CVE-2018-14652) * glusterfs:通过 'gf_getspec_req' RPC 消息,发现基于堆的缓冲区溢出 (CVE-2018-14653) * glusterfs:'features/index' 翻译器能创建任意空白文件 (CVE-2018-14654) * glusterfs:通过 'GF_XATTR_IOSTATS_DUMP_KEY' xattr 无限制的文件创建允许拒绝服务 (CVE-2018-14659) * glusterfs:重复使用 'GF_META_LOCK_KEY' xattr 允许内存耗尽 (CVE-2018-14660) * glusterfs:feature/lock 翻译工具传递用户控制的字符串到无正确格式字符串的 snprintf 时,导致拒绝服务 (CVE-2018-14661) 有关此安全问题的详细信息,包括其影响、CVSS 分数和其他相关信息,请参阅列于“参考”部分的 CVE 页面。Red Hat 在此感谢 Michael Hanselmann (hansmi.ch) 报告这些问题。缺陷修复:* MD5 实例由符合 FIPS 的 SHA256 校验和取代,当在已启用 FIPS 的机器上运行时,glusterd 不再崩溃。(BZ#1459709) * 专门解锁 flock 并更新状态文件,以便不再向任何工作进程或代理进程泄露引用。此修复使得所有工作进程得以顺利开始。(BZ#1623749) * 将会检查所有 HTIME 索引文件的特定开始和结束时间,并且当存在多个 HTIME 文件时,History API 不会失败。(BZ# 1627639) * 当从 Red Hat Gluster Storage 早期版本升级到 Red Hat Gluster Storage 3.4 时,df 命令显示的卷大小小于实际卷大小。已修复此问题,并且 df 命令现在显示所有卷的正确大小。(BZ#1630997) * 修改用于禁用 eager-lock 的算法,使其仅在多个写入操作同时尝试修改文件时进行禁用。在文件上执行写入操作时,无论因读取操作而打开该文件的次数如何均不受影响,从而提升性能。(BZ#1630688) * heal-info 未将 dirty marker 的存在视为分区指示,并且没有以分区状态显示这些条目。(BZ#1610743) 建议所有 Red Hat Gluster Storage 用户升级到这些更新的程序包,其提供大量缺陷修复和增强功能。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/errata/RHSA-2018:3432

https://access.redhat.com/security/cve/cve-2018-14651

https://access.redhat.com/security/cve/cve-2018-14652

https://access.redhat.com/security/cve/cve-2018-14653

https://access.redhat.com/security/cve/cve-2018-14654

https://access.redhat.com/security/cve/cve-2018-14659

https://access.redhat.com/security/cve/cve-2018-14660

https://access.redhat.com/security/cve/cve-2018-14661

插件详情

严重性: High

ID: 118583

文件名: redhat-RHSA-2018-3432.nasl

版本: 1.12

类型: local

代理: unix

发布时间: 2018/11/1

最近更新时间: 2022/6/6

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 8.5

时间分数: 6.3

矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:C/A:C

CVSS 分数来源: CVE-2018-14654

CVSS v3

风险因素: High

基本分数: 8.8

时间分数: 7.7

矢量: CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

CVSS 分数来源: CVE-2018-14653

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:glusterfs, p-cpe:/a:redhat:enterprise_linux:glusterfs-api, p-cpe:/a:redhat:enterprise_linux:glusterfs-api-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-cli, p-cpe:/a:redhat:enterprise_linux:glusterfs-client-xlators, p-cpe:/a:redhat:enterprise_linux:glusterfs-debuginfo, p-cpe:/a:redhat:enterprise_linux:glusterfs-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-events, p-cpe:/a:redhat:enterprise_linux:glusterfs-fuse, p-cpe:/a:redhat:enterprise_linux:glusterfs-ganesha, p-cpe:/a:redhat:enterprise_linux:glusterfs-geo-replication, p-cpe:/a:redhat:enterprise_linux:glusterfs-libs, p-cpe:/a:redhat:enterprise_linux:glusterfs-rdma, p-cpe:/a:redhat:enterprise_linux:glusterfs-resource-agents, p-cpe:/a:redhat:enterprise_linux:glusterfs-server, p-cpe:/a:redhat:enterprise_linux:python2-gluster, p-cpe:/a:redhat:enterprise_linux:redhat-storage-server, cpe:/o:redhat:enterprise_linux:7

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2018/10/31

漏洞发布日期: 2018/10/31

参考资料信息

CVE: CVE-2018-14651, CVE-2018-14652, CVE-2018-14653, CVE-2018-14654, CVE-2018-14659, CVE-2018-14660, CVE-2018-14661

RHSA: 2018:3432