RHEL 6:rhevm (RHSA-2012:0421)

medium Nessus 插件 ID 79284

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 rhevm 程序包修复了一个安全问题和多个缺陷,现在可用。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Red Hat Enterprise Virtualization Manager 是可视化工具,用于集中管理运行 Red Hat Enterprise Linux 和 Microsoft Windows 的虚拟机的集合。这些程序包也包括 Red Hat Enterprise Virtualization Manager REST (Representational State Transfer) API,即一组可编脚本的命令,使管理员能够执行有关 Red Hat Enterprise Virtualization Manager 的查询和操作。

已发现 RESTEasy 容易遭受 XML 外部实体 (XXE) 攻击。如果能够访问 Red Hat Enterprise Virtualization Manager REST API 的远程攻击者向 RESTEasy 端点提交包含外部 XML 实体的请求,将会解析该实体,从而允许攻击者读取运行应用程序服务器的用户可访问的文件。此缺陷影响 DOM(文档对象模型)文档和 JAXB (Java Architecture for XML Binding) 输入。(CVE-2012-0818)

此更新还修复以下缺陷:

* 以前,REST API 忽略“Accept”标头。这使其无法检索有关特定子集合的详细信息,包括主机和磁盘。REST API 已更新,现在可按原始意图处理“Accept”标头。
(BZ#771369)

* 以前始终会设置“start_time”虚拟机属性。
这意味着,即使是已经停止的虚拟机,也有“start_time’”值。已进行更新,确保“start_time”属性仅在虚拟机启动时设置,并且可以运行。(BZ#772975)

* 以前,“rhevm-setup”脚本只能在其区域设置设为“en_US.UTF-8”、“en_US.utf-8”或“en_US.utf8”的系统上成功运行。在升级后,该脚本在其他区域设置(包括“ja_JP.UTF-8”)中也可以成功运行。
(BZ#784860)

* 以前,REST API 不验证在启用电源管理时提供的所有必要参数。未提供必要参数时,返回的响应代码也会不正确指示操作已成功。已进行更新,确保正确验证电源管理参数。(BZ#785744)

* 以前,当主机上可用的磁盘空间容量低时,不会发出警告或错误。当主机上没有可用的磁盘空间时,将不会事先警告,而是直接变成无响应。现已更新,当主机的可用磁盘空间小于 1000 MB 时,会在审计日志中发出警告,当主机的可用磁盘空间小于 500 MB 提示错误。(BZ#786132)

* 导入虚拟机时,如果网络接口卡的 MAC 地址与现有虚拟机的 MAC 地址有冲突,不会提供通知。现在发生这种情况时,审计日志中会显示一则消息,强调人工干预的需要。
(BZ#795416)

* 以前,使用 rhevm-config 工具只能对 SpiceSecureChannels 设置一个值,不能多也不能少。这意味着无法对所有 SPICE 通道加密。rhevm-config 工具已更新,现在可将所有 SPICE 通道添加到 SpiceSecureChannels 配置密钥对它们加密。(BZ#784012)

建议所有 Red Hat Enterprise Virtualization 用户升级这些更新后的程序包,其中解决了此漏洞并修复了这些缺陷。请参阅“解决方案”部分,了解有关安装此更新的信息。

解决方案

更新受影响的数据包。

另见

http://www.nessus.org/u?e4ac23ee

https://access.redhat.com/errata/RHSA-2012:0421

https://access.redhat.com/security/cve/cve-2012-0818

https://access.redhat.com/security/cve/cve-2011-5245

插件详情

严重性: Medium

ID: 79284

文件名: redhat-RHSA-2012-0421.nasl

版本: 1.12

类型: local

代理: unix

发布时间: 2014/11/17

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

时间分数: 4.3

矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:rhevm, p-cpe:/a:redhat:enterprise_linux:rhevm-backend, p-cpe:/a:redhat:enterprise_linux:rhevm-config, p-cpe:/a:redhat:enterprise_linux:rhevm-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhevm-debuginfo, p-cpe:/a:redhat:enterprise_linux:rhevm-genericapi, p-cpe:/a:redhat:enterprise_linux:rhevm-iso-uploader, p-cpe:/a:redhat:enterprise_linux:rhevm-jboss-deps, p-cpe:/a:redhat:enterprise_linux:rhevm-log-collector, p-cpe:/a:redhat:enterprise_linux:rhevm-notification-service, p-cpe:/a:redhat:enterprise_linux:rhevm-restapi, p-cpe:/a:redhat:enterprise_linux:rhevm-setup, p-cpe:/a:redhat:enterprise_linux:rhevm-tools-common, p-cpe:/a:redhat:enterprise_linux:rhevm-userportal, p-cpe:/a:redhat:enterprise_linux:rhevm-webadmin-portal, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2012/3/26

漏洞发布日期: 2012/11/23

参考资料信息

CVE: CVE-2011-5245, CVE-2012-0818

BID: 51748, 51766

RHSA: 2012:0421