RHEL 6 : openshift (RHSA-2013:0220)
high Nessus 插件 ID 119431
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
Red Hat OpenShift Enterprise 1.1 现在可用。Red Hat 安全响应团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。Red Hat OpenShift Enterprise 是种云计算平台即服务 (PaaS) 解决方案,专门针对本地部署或私有云端部署而设计。如需有关此版本中变更的信息,请参阅 Red Hat OpenShift Enterprise 1.1 版本说明。版本说明不久将可从下列网址查看:https://access.redhat.com/knowledge/docs/ 此更新也修复了下列安全问题:发现 Jenkins 的主密码编译密钥可通过托管 Jenkins 的 HTTP 服务器检索。远程攻击者可利用此缺陷,以运行 Jenkins 之用户的权限访问服务器并执行任意代码。请注意,此问题仅影响连接从属端也允许匿名读取访问(非默认配置)的 Jenkins 实例。修正此问题也需要进行手动操作。如需进一步信息,请参阅“参考”中链接的“Jenkins 安全性公告 2013-01-04”。(CVE-2013-0158) 在调试模式下运行 rhc-chk 脚本时,其输出包含纯文本的敏感信息,例如数据库密码。此脚本常用于故障排除过程,因此这个缺陷可导致用户不小心在支持管道中泄露敏感信息(例如,Bugzilla 报告)。此更新会移除 rhc-chk 脚本。(CVE-2012-5658) Jenkins web 界面中的多个缺陷可让远程攻击者执行 HTTP 响应拆分攻击和跨站脚本 (XSS) 攻击,并利用开放重定向缺陷,将受害者重定向到任意页面。(CVE-2012-6072, CVE-2012-6074, CVE-2012-6073) 在 rubygem-activerecord 动态查找器从方法参数检索选项的方式中,发现缺陷。远程攻击者可能利用此缺陷,针对使用 Active Record 动态查找器方法的应用程序执行 SQL 注入攻击。(CVE-2012-6496) openshift-port-proxy-cfg 程序以不安全的方式创建一个临时文件。本地攻击者可利用此缺陷执行符号链接攻击,进而以 ‘0’ 或 ‘1’ 覆盖根用户可访问的任意文件,这可能会导致拒绝服务。默认情况下,OpenShift 会针对 /tmp/ 目录使用多实例(依据用户),从而将本地攻击者恶意利用的风险和影响降至最低。(CVE-2013-0164) CVE-2013-0164 问题的发现者为 Red Hat 区域 IT 团队的 Michael Scherer。建议 Red Hat OpenShift Enterprise 1.0 用户升级到 Red Hat OpenShift Enterprise 1.1。解决方案
更新受影响的程序包。另见
https://wiki.jenkins.io/display/SECURITY/
https://access.redhat.com/documentation/en-us/
https://access.redhat.com/errata/RHSA-2013:0220
https://access.redhat.com/security/cve/cve-2012-6496
https://access.redhat.com/security/cve/cve-2012-5658
https://access.redhat.com/security/cve/cve-2013-0158
https://access.redhat.com/security/cve/cve-2013-0164
https://access.redhat.com/security/cve/cve-2012-6073
插件详情
严重性: High
ID: 119431
文件名: redhat-RHSA-2013-0220.nasl
版本: 1.7
类型: local
代理: unix
发布时间: 2018/12/6
最近更新时间: 2021/1/14
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Medium
分数: 6.7
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 6.2
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:jenkins, p-cpe:/a:redhat:enterprise_linux:libmongodb, p-cpe:/a:redhat:enterprise_linux:mongodb, p-cpe:/a:redhat:enterprise_linux:mongodb-debuginfo, p-cpe:/a:redhat:enterprise_linux:mongodb-devel, p-cpe:/a:redhat:enterprise_linux:mongodb-server, p-cpe:/a:redhat:enterprise_linux:openshift-console, p-cpe:/a:redhat:enterprise_linux:openshift-origin-broker, p-cpe:/a:redhat:enterprise_linux:openshift-origin-broker-util, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-haproxy-1.4, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-ruby-1.8, p-cpe:/a:redhat:enterprise_linux:openshift-origin-cartridge-ruby-1.9-scl, p-cpe:/a:redhat:enterprise_linux:openshift-origin-msg-node-mcollective, p-cpe:/a:redhat:enterprise_linux:openshift-origin-node-util, p-cpe:/a:redhat:enterprise_linux:openshift-origin-port-proxy, p-cpe:/a:redhat:enterprise_linux:rhc, p-cpe:/a:redhat:enterprise_linux:ruby193-mod_passenger, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-activerecord, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-activerecord-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-debuginfo, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-devel, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-doc, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-native, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-passenger-native-libs, p-cpe:/a:redhat:enterprise_linux:rubygem-activerecord, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-auth-remote-user, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-common, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-console, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-console-doc, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-controller, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-dns-bind, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-msg-broker-mcollective, p-cpe:/a:redhat:enterprise_linux:rubygem-openshift-origin-node, cpe:/o:redhat:enterprise_linux:6
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
可利用: true
易利用性: Exploits are available
补丁发布日期: 2013/1/31
漏洞发布日期: 2013/1/3
参考资料信息
CVE: CVE-2012-5658, CVE-2012-6072, CVE-2012-6073, CVE-2012-6074, CVE-2012-6496, CVE-2013-0158, CVE-2013-0164
RHSA: 2013:0220