RHEL 7 : heketi (RHSA-2019:3255)
critical Nessus 插件 ID 130417
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
更新的 heketi 程序包修复一个安全问题、多个缺陷,并增加多种增强功能,现在可用于 OpenShift Container Storage 3.11 Batch 4 Update。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。Heketi 提供的 RESTful 管理界面可用于管理 GlusterFS 卷的生命周期。使用 Heketi,如 OpenStack Manila、Kubernetes 和 OpenShift 的云端服务,即可动态配置具有任何受支持耐用类型的 GlusterFS 卷。Heketi 可自动判断群集间的块位置,确保在不同的故障域间放置块及其副本。Heketi 也支持任意数量的 GlusterFS 群集,允许云服务提供网路文件存储,而又不限于单一 GlusterFS 群集。下列程序包已升级到更高的上游版本:heketi (9.0.0)。(BZ#1710080) 安全补丁:* heketi:使用不安全的默认值可安装 heketi (CVE-2019-3899) 有关此安全问题的详细信息,包括其影响、CVSS 分数、致谢和其他相关信息,请参阅列于“参考”部分的 CVE 页面。缺陷补丁:* 先前容易以不安全的方式无意间设置 Heketi,增加未授权用户变更 Heketi 管理存储的风险。已经更改默认设置,要求用户配置身份验证,并使无意间禁用身份验证更加困难。(BZ#1701838) * 先前当 Heketi 在 OpenShift/Kubernetes pod 中执行命令时,命令会执行,并且没有超时规定。因此,一些命令从不返回,与总是执行带有超时命令的 SSH 执行程序不同。在此更新中,gluster 容器中执行的命令拥有规定的超时。不论使用什么类型的连接,超时值均相同。(BZ# 1636912) * 先前,如果 Heketi 管理多个集群,并且未能在任何集群中创建卷,将返回通用的“无空间”的错误消息。借助此更新,已经改善 heketi 管理多个 gluster 集群时产生错误消息的情况。当集群无节点或节点无可用设备时,Heketi 现在显示特定错误,并通过使用集群 ID 对集群错误加前缀来报告各集群的错误。(BZ#1577803) * 先前,如果同时从服务器请求清除操作,服务器将尝试两次启动清理同一个操作。这会触发服务器错误。借助此更新,当同时请求两个清除操作时,服务器不再出错。(BZ#1702162) 增强功能:* 当使用 heketi 删除节点或添加到 gluster 受信任存储池时,现有端点不会自动更新。借助此更新,要在增加/删除节点后更新端点,用户现在可执行以下命令:1. heketi-cli 卷端点补丁 2. oc 补丁 ep -p (BZ#1660681) * 借助此更新,Heketi 可追踪与磁盘设备相关的额外元数据,即使设备路径变更。一些命令的输出已经更新,以反映额外元数据。(BZ#1609553) 建议所有 Heketi 用户升级到这些更新后的程序包,其中增加了这些增强功能并修复了这些缺陷。解决方案
请更新受影响的 heketi、heketi-client 和/或 python-heketi 程序包。另见
http://www.nessus.org/u?c0b4fff9
https://access.redhat.com/errata/RHSA-2019:3255
https://access.redhat.com/security/updates/classification/#moderate
https://bugzilla.redhat.com/show_bug.cgi?id=1577803
https://bugzilla.redhat.com/show_bug.cgi?id=1609553
https://bugzilla.redhat.com/show_bug.cgi?id=1636912
https://bugzilla.redhat.com/show_bug.cgi?id=1660681
https://bugzilla.redhat.com/show_bug.cgi?id=1701091
https://bugzilla.redhat.com/show_bug.cgi?id=1702162
https://bugzilla.redhat.com/show_bug.cgi?id=1710080
https://bugzilla.redhat.com/show_bug.cgi?id=1710996
插件详情
严重性: Critical
ID: 130417
文件名: redhat-RHSA-2019-3255.nasl
版本: 1.4
类型: local
代理: unix
发布时间: 2019/10/31
最近更新时间: 2024/4/27
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2019-3899
CVSS v3
风险因素: Critical
基本分数: 9.8
时间分数: 8.5
矢量: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
时间矢量: CVSS:3.0/E:U/RL:O/RC:C
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:heketi, p-cpe:/a:redhat:enterprise_linux:heketi-client, p-cpe:/a:redhat:enterprise_linux:python-heketi, cpe:/o:redhat:enterprise_linux:7
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2019/10/30
漏洞发布日期: 2019/4/22
参考资料信息
CVE: CVE-2019-3899