RHEL 6：MRG (RHSA-2014:0440)

medium Nessus 插件 ID 76675

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 Grid 组件程序包修复了两个安全问题和若干缺陷，并提供了多种增强功能，现在可用于 Red Hat Enterprise Linux 6 的 Red Hat Enterprise MRG 2.5。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Red Hat Enterprise MRG（Messaging、Realtime 和 Grid）是用于企业计算的下一代 IT 基础架构。MRG 为企业客户提供更高的性能、可靠性和互操作性以及更快的计算速度。

MRG 网格提供高吞吐量计算，使企业可通过利用其现有技术构建高性能网格，从而实现更高的峰值计算能力和改进的基础架构使用率。MRG 网格提供作业排队机制、计划策略和优先级方案以及资源监控和资源管理。用户将其作业提交给 MRG 网格，并于此处将作业放入队列中。然后，MRG 网格根据策略选择运行此作业的时间和地点、精心监控作业的进度并在最终完成后通知用户。

在 MongoDB 处理 BSON 数据的方式中发现缓冲区读取越界缺陷。被允许将 BSON 数据插入 MongoDB 服务器的数据库用户可利用此缺陷读取服务器内存，从而可能泄露敏感数据。(CVE-2012-6619)

注意：此更新通过启用 /etc/mongodb.conf 文件中的“--objcheck”选项，解决了 CVE-2012-6619。如果您编辑了此文件，则更新后的版本将存储为 /etc/mongodb.conf.rpmnew，并且您需要手动将更改合并到 /etc/mongodb.conf 中。

已发现 MRG 管理控制台 (cumin) 使用 crypt(3) 基于 DES 的哈希函数对密码执行哈希操作。基于 DES 的哈希具有已知漏洞，允许攻击者从哈希恢复明文密码。可以危及 cumin 用户数据库的攻击者可能利用此缺陷恢复该数据库中存储的密码哈希内的明文密码。(CVE-2013-6445)

注意：对于将用户帐户信息存储在由 cumin 管理的数据库中的部署，建议用户在应用此更新之后更改自己的密码。

CVE-2013-6445 问题由 Red Hat MRG 质量工程团队的 Tomáš Nováčik 发现。

针对 Red Hat Enterprise Linux 6 更新的这些程序包还为 Red Hat Enterprise MRG 的 Grid 组件提供大量缺陷补丁和增强。空间有限，无法在此公告中记载所有这些更改。请参阅很快便可通过“参考”部分中链接的 Red Hat Enterprise MRG 2 技术札记文档了解关于这些更改的信息。

建议 Red Hat Enterprise MRG Grid 功能的所有用户升级到这些更新后的程序包，其中修正了这些问题并添加这些增强。

解决方案

更新受影响的数据包。

另见

http://www.nessus.org/u?687515f3

https://access.redhat.com/errata/RHSA-2014:0440

https://access.redhat.com/security/cve/cve-2012-6619

https://access.redhat.com/security/cve/cve-2013-6445

插件详情

严重性: Medium

ID: 76675

文件名: redhat-RHSA-2014-0440.nasl

版本: 1.14

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2014/7/22

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Medium

基本分数: 6.4

时间分数: 4.7

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:P

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:condor, p-cpe:/a:redhat:enterprise_linux:condor-aviary, p-cpe:/a:redhat:enterprise_linux:condor-classads, p-cpe:/a:redhat:enterprise_linux:condor-cluster-resource-agent, p-cpe:/a:redhat:enterprise_linux:condor-debuginfo, p-cpe:/a:redhat:enterprise_linux:condor-deltacloud-gahp, p-cpe:/a:redhat:enterprise_linux:condor-kbdd, p-cpe:/a:redhat:enterprise_linux:condor-plumage, p-cpe:/a:redhat:enterprise_linux:condor-qmf, p-cpe:/a:redhat:enterprise_linux:condor-vm-gahp, p-cpe:/a:redhat:enterprise_linux:cumin, p-cpe:/a:redhat:enterprise_linux:mongodb, p-cpe:/a:redhat:enterprise_linux:mongodb-debuginfo, p-cpe:/a:redhat:enterprise_linux:mongodb-server, p-cpe:/a:redhat:enterprise_linux:mrg-release, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2014/4/28

漏洞发布日期: 2014/3/6

参考资料信息

CVE: CVE-2012-6619, CVE-2013-6445

BID: 67733

RHSA: 2014:0440