CentOS 5：conga (CESA-2013:0128)

low Nessus 插件 ID 63573

语言：

简介

远程 CentOS 主机缺少一个或多个安全更新。

描述

更新后的 conga 程序包修复了一个安全问题和多种缺陷并添加了两项增强，现在可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Conga 项目是远程工作站的管理系统。它包括 luci 和 ricci 两部分，前者是一款基于 Web 的安全前端，而后者是一款将传入消息分发到底层管理模块的安全后台程序。

已发现 luci 可在会话 Cookie 中存储用户名和密码。此问题可阻止会话非活动超时功能正确运行，并允许攻击者访问会话 Cookie，从而获得受害者的认证凭据。
(CVE-2012-3359)

Red Hat 在此感谢 Cybercom Sweden East AB 的 George Hedfors 报告此问题。

此更新还修复以下缺陷：

* 在此更新之前，luci 不允许配置 fence_apc_snmp 代理。因此，用户不能配置 fence_apc_snmp 或查看其现有配置。此更新添加了一个新屏幕，允许配置 fence_apc_snmp。(BZ#832181)

* 在此更新之前，luci 不允许启用或禁用 fence_ilo fence 代理的 SSL 操作。因此，用户不能配置 fence_ilo 的“ssl”属性或查看其现有配置。此更新添加了一个显示 SSL 操作是否启用的复选框，允许用户编辑该属性。(BZ#832183)

* 在此更新之前，luci 不允许查看或编辑 fence_ilo_mp fence 代理的“identity_file”属性。因此，用户不能配置 fence_ilo_mp fence 代理的“identity_file”属性或查看其现有配置。此更新添加了一个显示 fence_ilo_mp 的“identity_file”属性当前状态的文本输入框，允许用户编辑该属性。(BZ#832185)

* 在此更新之前，卸载 luci 程序包时，冗余文件和目录仍然保留在文件系统的 /var/lib/luci/var/pts 和 /usr/lib{,64}/luci/zope/var/pts 中。
此更新可在卸载 luci 程序包时删除这些文件和目录。(BZ#835649)

* 在此更新之前，“重启-禁用”恢复策略未显示在恢复策略列表中，因此用户不能在为故障转移域配置恢复策略时从中进行选择。因此，不能通过 luci GUI 设置“重启-禁用”恢复策略。此更新将“重启-禁用”恢复选项添加到恢复策略下拉列表中。(BZ#839732)

* 在此更新之前，“yum 列表”输出中非预期的换行符可在创建集群或添加节点到现有集群时引起程序包升级和/或安装失败。因此，创建集群以及添加集群节点到现有群集时失败。此更新修改了 ricci 后台程序，使其可正确处理“yum 列表”输出中的换行符。(BZ#842865)

此外，此更新还添加了以下增强：

* 此更新向 luci 程序包添加了对配置 Intel iPDU fence 代理的支持。(BZ#741986)

* 此更新向 FS 和集群 FS 资源代理配置屏幕添加了对查看和更改新“nfsrestart”属性状态的支持。(BZ#822633)

建议所有 conga 用户升级这些更新后的程序包，其中解决了这些问题并添加这些增强。安装此更新后，luci 和 ricci 服务将自动重新启动。