RHEL 6：rhevm 3.1.2 (RHSA-2013:0211)

medium Nessus 插件 ID 78948

语言：

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 rhevm 程序包修复了两个安全问题和各种缺陷，现在可用。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

Red Hat Enterprise Virtualization Manager 是集中式管理平台，允许系统管理员查看和管理虚拟机。Red Hat Enterprise Virtualization Manager 提供各种全面的功能，包括搜索功能、资源管理、实时迁移和虚拟基础架构部署。Manager 是 JBoss Application Server 应用程序，该用应程序提供了多个界面，可通过这些界面访问虚拟环境并与之交互，其中包括管理门户、用户门户以及表述性状态转移 (REST) 应用程序编程接口 (API)。

发现通过验证操作（“rhevm-manage-domains -action=validate”）来运行域管理工具会将管理密码记录到一个全局可读的日志文件。本地攻击者可使用此缺陷来获得对 Red Hat Enterprise Virtualization Manager 管理的系统的控制。(CVE-2012-6115)

在 MoveDisk 命令对目标存储域上的权限进行检查的方式中发现一个缺陷。特权用户（存储域的存储管理员）可使用此缺陷来耗尽他们本无权访问的其他存储域中的所有可用空间。(CVE-2013-0168)

CVE-2012-6115 问题的发现者为 Red Hat 的 Andrew Cathrow。
CVE-2013-0168 问题的发现者为 Red Hat 的 Ondrej Machacek。

之前，Red Hat 不正式支持从 Red Hat Enterprise Virtualization Manager 3.0 升级到 3.1。此更新修复升级流程的许多已知问题。因此，现在支持从 Red Hat Enterprise Virtualization Manager 3.0 升级到 3.1。

有关升级到 Red Hat Enterprise Virtualization Manager 3.1 的更多信息，请参阅安装指南：

https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Virtualization/3.1/html/Installation_Guide/chap-Upgrading_to_Red_Hat_Enterprise_Virtualization_3.1.html

还可在 Red Hat 知识库中了解更多提示和要考虑的注意事项：

https://access.redhat.com/knowledge/articles/269333

可在技术札记文档中了解关于次更新中修复的缺陷的信息：

https://access.redhat.com/knowledge/docs/en-US/Red_Hat_Enterprise_Virtualization/3.1/html/Technical_Notes/chap-RHSA-2013-0211.html

建议所有 Red Hat Enterprise Virtualization Manager 管理员安装这些更新后的程序包，其中修复了这些问题。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/documentation/en-US/

https://access.redhat.com/articles/269333

https://access.redhat.com/errata/RHSA-2013:0211

https://access.redhat.com/security/cve/cve-2013-0168

https://access.redhat.com/security/cve/cve-2012-6115

插件详情

严重性: Medium

ID: 78948

文件名: redhat-RHSA-2013-0211.nasl

版本: 1.14

类型: local

代理: unix

系列: Red Hat Local Security Checks

发布时间: 2014/11/8

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 4.2

CVSS v2

风险因素: Medium

基本分数: 4

时间分数: 3

矢量: CVSS2#AV:N/AC:L/Au:S/C:N/I:N/A:P

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:rhevm, p-cpe:/a:redhat:enterprise_linux:rhevm-backend, p-cpe:/a:redhat:enterprise_linux:rhevm-config, p-cpe:/a:redhat:enterprise_linux:rhevm-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhevm-genericapi, p-cpe:/a:redhat:enterprise_linux:rhevm-notification-service, p-cpe:/a:redhat:enterprise_linux:rhevm-restapi, p-cpe:/a:redhat:enterprise_linux:rhevm-setup, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-allinone, p-cpe:/a:redhat:enterprise_linux:rhevm-tools-common, p-cpe:/a:redhat:enterprise_linux:rhevm-userportal, p-cpe:/a:redhat:enterprise_linux:rhevm-webadmin-portal, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2013/2/4

漏洞发布日期: 2013/3/12

参考资料信息

CVE: CVE-2012-6115, CVE-2013-0168

BID: 57749, 57750

RHSA: 2013:0211