RHEL 5:rgmanager (RHSA-2011:1000)

medium Nessus 插件 ID 63992
全新!插件严重性现在使用 CVSS v3

计算的插件严重性默认已更新为使用 CVSS v3。没有 CVSS v3 分数的插件将回退到 CVSS v2 来计算严重性。可以在设置下拉列表中切换严重性显示首选项。

简介

远程 Red Hat 主机缺少安全更新。

描述

更新后的 rgmanager 程序包修复了一个安全问题和多个缺陷,并添加了多种增强,现在可用于 Red Hat Enterprise Linux 5。

Red Hat 安全响应团队将此更新评级为具有低危安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

rgmanager 程序包包含 Red Hat Resource Group Manager,后者可在发生系统停机时提供创建和管理高可用性服务器应用程序的功能。

已发现某些资源代理脚本将 LD_LIBRARY_PATH 环境变量设置为包含空路径元素的非安全值。如果本地用户能诱骗运行这些脚本的用户从可由攻击者写入的目录执行脚本,该本地用户可通过特别构建的动态库,利用此缺陷升级其权限。(CVE-2010-3389)

Red Hat 在此感谢 Raphael Geissert 报告此问题。

此更新还修复以下缺陷:

* 在服务处于“starting”状态的情况下未遵循故障转移域“nofailback”选项。此缺陷已得到修复。(BZ#669440)

* 文件名中包含空格的 PID 文件现在得到正确处理。(BZ#632704)

* 现在可从 Cron 内使用 /usr/sbin/rhev-check.sh 脚本。
(BZ#634225)

* clustat 实用工具现在报告正确的版本。(BZ#654160)

* oracledb.sh 代理现在试图尝试“shutdown immediate”命令而不是使用“shutdown abort”命令。(BZ#633992)

* SAPInstance 和 SAPDatabase 脚本现在使用正确的目录名称引用,因此它们不再与目录名称(例如“/u”)发生冲突。
(BZ#637154)

* clufindhostname 实用工具现在在所有情况下均返回正确的值。(BZ#592613)

* nfsclient 资源代理现在正确地处理包含结尾斜杠的路径。(BZ#592624)

* 现在在故障转移后正确报告服务的最后一个所有者。(BZ#610483)

* 如果未配置配额,则 /usr/share/cluster/fs.sh 脚本不再运行“quotaoff”命令。(BZ#637678)

* Apache 资源代理生成的 /etc/httpd/conf/httpd.conf 文件中的“listen”行现已修正。(BZ#675739)

* tomcat-5 资源代理不再生成错误配置。(BZ#637802)

* 已缩短服务器不可用时停止 NFS 资源所需的时间。(BZ#678494)

* 现在,使用独占优先级时,较高优先级服务在状态检查失败后抢先于较低优先级服务。
(BZ#680256)

* postgres-8 资源代理现在正确地检测失败的开始操作。(BZ#663827)

* 由 rgmanager 传递到资源代理的引用计数的处理现在按预期正常运行。(BZ#692771)

此更新还添加了以下增强:

* 现在可以禁用通过 IP 资源代理对静态路由的更新。(BZ#620700)

* 现在可以将 XFS 用作群集服务内的文件系统。(BZ#661893)

* 现在,只要用户在“root”群组内,即可将“clustat”命令用作非根用户。(BZ#510300)

* 现在,可以在启用中央处理时迁移虚拟机。(BZ#525271)

* rgmanager init 脚本现在将在停止服务后延迟,以便为其他节点留出重新启动的时间。(BZ#619468)

* 已修正失败的独立子树处理。
(BZ#711521)

建议所有 Red Hat Resource Group Manager 用户升级此更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序,并且添加了上述增强。

解决方案

更新受影响的 rgmanager 程序包。

另见

https://www.redhat.com/security/data/cve/CVE-2010-3389.html

http://rhn.redhat.com/errata/RHSA-2011-1000.html

插件详情

严重性: Medium

ID: 63992

文件名: redhat-RHSA-2011-1000.nasl

版本: 1.12

类型: local

代理: unix

发布时间: 2013/1/24

最近更新时间: 2021/1/14

依存关系: ssh_get_info.nasl

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: Medium

基本分数: 6.9

时间分数: 5.1

矢量: AV:L/AC:M/Au:N/C:C/I:C/A:C

时间矢量: E:U/RL:OF/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:rgmanager, cpe:/o:redhat:enterprise_linux:5

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2011/7/21

参考资料信息

CVE: CVE-2010-3389

BID: 44359

RHSA: 2011:1000