RHEL 6:Storage Server (RHSA-2013:1263)
medium Nessus 插件 ID 79289
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
更新后的 Red Hat Storage Console 程序包修复了一个安全问题和多种缺陷,并添加了多项增强,现在可用于 Red Hat Storage Server 2.1。Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
Red Hat Storage Console (RHS-C) 是一款强大而简单的基于 Web 的图形用户界面,用于管理 Red Hat Storage 2.1 环境。此功能是作为技术预览提供的,目前 Red Hat Storage 订阅服务不支持此功能。
有关技术预览的更多信息,请参阅:
https://access.redhat.com/support/offerings/techpreview/
已发现 RESTEasy 容易遭受 XML 外部实体 (XXE) 攻击。如果能够访问 Red Hat Storage Console REST API 的远程攻击者向 RESTEasy 端点提交包含外部 XML 实体的请求,则该实体会被解析,从而允许攻击者读取可由运行应用程序服务器的用户所访问的文件。此缺陷影响 DOM(文档对象模型)文档和 JAXB (Java Architecture for XML Binding) 输入。
(CVE-2012-0818)
此更新还修复以下缺陷:
* 以前如果新服务器上没有安装必要的程序包,则该服务器不能添加至群集。现在,管理员可将服务器添加至群集,因为服务器可自动安装缺少的必要程序包。(BZ#850431)
* 以前,rhs-log-collector 工具没有收集有关 GlusterFS 的日志。(BZ#855271)
* 以前,rhsc-setup 无法在禁用 SELinux 的系统中成功完成。
(BZ#841342)
* 现在“Add Bricks”弹出窗口中的“Add Brick”按钮被放置在“Brick Directory”字段旁边,从而实现更好的 UI 体验。(BZ#863929)
* 以前,卷的 UUID 不可见。现在,将一个新字段添加到“Volumes”选项卡中的“Summary”子选项卡,用来显示 UUID。
(BZ#887806)
* 以前在重新启动服务器之后,无法访问 Web 控制台。已修改设置机制,确保在重新启动服务器之后可访问 Web 控制台。(BZ#838284)
此更新还添加了以下增强:
* 以前,要逐个添加主机才可将现有的存储群集导入到 Red Hat Storage Console。现在新增了一项新功能,用户可导入现有的存储群集。新的“群集创建”窗口提供用于导入现有存储群集的选项。如果输入 IP_Address 或群集中某个主机的主机名和密码,则会显示含有群集中所有主机的列表,并且这些主机均可添加至控制台。还可导入群集中的卷。
(BZ#850438)
* 以前,需要通过命令行才能使卷使用 CIFS。现在,您可通过“创建卷”窗口中的新“CIFS”复选框来启用或禁用卷的导出。(BZ#850452)
* 用于 Red Hat Storage 的新 Red Hat Support 插件是一种技术预览功能,可提供对 Red Hat 客户门户网站中的 Red Hat 订阅服务的无缝集成访问。安装此插件的订阅者可访问以下功能:
- 创建、管理和更新 Red Hat 支持案例。- 方便地访问独有的 Red Hat 知识和解决方案。- 搜索错误代码、消息等,以及从 Red Hat 客户门户网站查看相关知识。
(BZ#999245)
* 将新的“事件 ID”列添加至“事件”选项卡的“高级视图”中的“事件”表中,从而允许用户在“事件”选项卡中查看每个事件的 ID。(BZ#889942)
* 新增了一项功能,可管理和监控控制台上的挂钩。此功能还可报告挂钩的变化,并通过以常规间隔进行轮询来检查新的挂钩脚本。(BZ#850483)
* 新增了“优化虚拟存储”选项,用于优化作为虚拟存储的卷。系统设置了该卷上的“虚拟”群组选项,以及以下两个卷选项:
- storage.owner-uid=36 - storage.owner-gid=36
此选项在创建卷期间以及现有卷中可用。(BZ#891493、BZ#891491)
建议 Red Hat Storage Server 2.1 的所有用户升级这些更新后的程序包。
解决方案
更新受影响的数据包。另见
https://access.redhat.com/support/offerings/techpreview/
插件详情
严重性: Medium
ID: 79289
文件名: redhat-RHSA-2013-1263.nasl
版本: 1.9
类型: local
代理: unix
发布时间: 2014/11/17
最近更新时间: 2021/1/14
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus
风险信息
VPR
风险因素: Low
分数: 3.6
CVSS v2
风险因素: Medium
基本分数: 5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:N/A:N
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:otopi, p-cpe:/a:redhat:enterprise_linux:otopi-devel, p-cpe:/a:redhat:enterprise_linux:otopi-java, p-cpe:/a:redhat:enterprise_linux:otopi-repolib, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy-java, p-cpe:/a:redhat:enterprise_linux:ovirt-host-deploy-repolib, p-cpe:/a:redhat:enterprise_linux:python-daemon, p-cpe:/a:redhat:enterprise_linux:python-kitchen, p-cpe:/a:redhat:enterprise_linux:python-lockfile, p-cpe:/a:redhat:enterprise_linux:python-ply, p-cpe:/a:redhat:enterprise_linux:redhat-access-plugin-storage, p-cpe:/a:redhat:enterprise_linux:rhsc, p-cpe:/a:redhat:enterprise_linux:rhsc-backend, p-cpe:/a:redhat:enterprise_linux:rhsc-cli, p-cpe:/a:redhat:enterprise_linux:rhsc-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhsc-log-collector, p-cpe:/a:redhat:enterprise_linux:rhsc-restapi, p-cpe:/a:redhat:enterprise_linux:rhsc-sdk, p-cpe:/a:redhat:enterprise_linux:rhsc-setup, p-cpe:/a:redhat:enterprise_linux:rhsc-tools, p-cpe:/a:redhat:enterprise_linux:rhsc-webadmin-portal, cpe:/o:redhat:enterprise_linux:6
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
补丁发布日期: 2013/9/16
漏洞发布日期: 2012/11/23
参考资料信息
CVE: CVE-2012-0818
RHSA: 2013:1263