RHEL 6:Storage Server (RHSA-2013:1263)

medium Nessus 插件 ID 79289

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 Red Hat Storage Console 程序包修复了一个安全问题和多种缺陷,并添加了多项增强,现在可用于 Red Hat Storage Server 2.1。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Red Hat Storage Console (RHS-C) 是一款强大而简单的基于 Web 的图形用户界面,用于管理 Red Hat Storage 2.1 环境。此功能是作为技术预览提供的,目前 Red Hat Storage 订阅服务不支持此功能。
有关技术预览的更多信息,请参阅:
https://access.redhat.com/support/offerings/techpreview/

已发现 RESTEasy 容易遭受 XML 外部实体 (XXE) 攻击。如果能够访问 Red Hat Storage Console REST API 的远程攻击者向 RESTEasy 端点提交包含外部 XML 实体的请求,则该实体会被解析,从而允许攻击者读取可由运行应用程序服务器的用户所访问的文件。此缺陷影响 DOM(文档对象模型)文档和 JAXB (Java Architecture for XML Binding) 输入。
(CVE-2012-0818)

此更新还修复以下缺陷:

* 以前如果新服务器上没有安装必要的程序包,则该服务器不能添加至群集。现在,管理员可将服务器添加至群集,因为服务器可自动安装缺少的必要程序包。(BZ#850431)

* 以前,rhs-log-collector 工具没有收集有关 GlusterFS 的日志。(BZ#855271)

* 以前,rhsc-setup 无法在禁用 SELinux 的系统中成功完成。
(BZ#841342)

* 现在“Add Bricks”弹出窗口中的“Add Brick”按钮被放置在“Brick Directory”字段旁边,从而实现更好的 UI 体验。(BZ#863929)

* 以前,卷的 UUID 不可见。现在,将一个新字段添加到“Volumes”选项卡中的“Summary”子选项卡,用来显示 UUID。
(BZ#887806)

* 以前在重新启动服务器之后,无法访问 Web 控制台。已修改设置机制,确保在重新启动服务器之后可访问 Web 控制台。(BZ#838284)

此更新还添加了以下增强:

* 以前,要逐个添加主机才可将现有的存储群集导入到 Red Hat Storage Console。现在新增了一项新功能,用户可导入现有的存储群集。新的“群集创建”窗口提供用于导入现有存储群集的选项。如果输入 IP_Address 或群集中某个主机的主机名和密码,则会显示含有群集中所有主机的列表,并且这些主机均可添加至控制台。还可导入群集中的卷。
(BZ#850438)

* 以前,需要通过命令行才能使卷使用 CIFS。现在,您可通过“创建卷”窗口中的新“CIFS”复选框来启用或禁用卷的导出。(BZ#850452)

* 用于 Red Hat Storage 的新 Red Hat Support 插件是一种技术预览功能,可提供对 Red Hat 客户门户网站中的 Red Hat 订阅服务的无缝集成访问。安装此插件的订阅者可访问以下功能:

- 创建、管理和更新 Red Hat 支持案例。- 方便地访问独有的 Red Hat 知识和解决方案。- 搜索错误代码、消息等,以及从 Red Hat 客户门户网站查看相关知识。
(BZ#999245)

* 将新的“事件 ID”列添加至“事件”选项卡的“高级视图”中的“事件”表中,从而允许用户在“事件”选项卡中查看每个事件的 ID。(BZ#889942)

* 新增了一项功能,可管理和监控控制台上的挂钩。此功能还可报告挂钩的变化,并通过以常规间隔进行轮询来检查新的挂钩脚本。(BZ#850483)

* 新增了“优化虚拟存储”选项,用于优化作为虚拟存储的卷。系统设置了该卷上的“虚拟”群组选项,以及以下两个卷选项:

- storage.owner-uid=36 - storage.owner-gid=36

此选项在创建卷期间以及现有卷中可用。(BZ#891493、BZ#891491)

建议 Red Hat Storage Server 2.1 的所有用户升级这些更新后的程序包。

解决方案

更新受影响的数据包。

另见

https://access.redhat.com/support/offerings/techpreview/

https://access.redhat.com/errata/RHSA-2013:1263

https://access.redhat.com/security/cve/cve-2012-0818

插件详情

严重性: Medium

ID: 79289

文件名: redhat-RHSA-2013-1263.nasl

版本: 1.9

类型: local

代理: unix

发布时间: 2014/11/17

最近更新时间: 2021/1/14

支持的传感器: Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

风险信息

VPR

风险因素: Low

分数: 3.6

CVSS v2

风险因素: Medium

基本分数: 5

矢量: AV:N/AC:L/Au:N/C:P/I:N/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:otopi, p-cpe:/a:redhat:enterprise_linux:otopi-devel, p-cpe:/a:redhat:enterprise_linux:otopi-java, p-cpe:/a:redhat:enterprise_linux:otopi-repolib, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy-java, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy-repolib, p-cpe:/a:redhat:enterprise_linux:python-daemon, p-cpe:/a:redhat:enterprise_linux:python-kitchen, p-cpe:/a:redhat:enterprise_linux:python-lockfile, p-cpe:/a:redhat:enterprise_linux:python-ply, p-cpe:/a:redhat:enterprise_linux:redhat-access-plugin-storage, p-cpe:/a:redhat:enterprise_linux:rhsc, p-cpe:/a:redhat:enterprise_linux:rhsc-backend, p-cpe:/a:redhat:enterprise_linux:rhsc-cli, p-cpe:/a:redhat:enterprise_linux:rhsc-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhsc-log-collector, p-cpe:/a:redhat:enterprise_linux:rhsc-restapi, p-cpe:/a:redhat:enterprise_linux:rhsc-sdk, p-cpe:/a:redhat:enterprise_linux:rhsc-setup, p-cpe:/a:redhat:enterprise_linux:rhsc-tools, p-cpe:/a:redhat:enterprise_linux:rhsc-webadmin-portal, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2013/9/16

漏洞发布日期: 2012/11/23

参考资料信息

CVE: CVE-2012-0818

RHSA: 2013:1263