openSUSE 安全更新:openstack-dashboard (openSUSE-SU-2015:0078-1)
medium Nessus 插件 ID 80842
语言:
简介
远程 openSUSE 主机缺少安全更新。描述
已更新 OpenStack Dashboard,修复了缺陷和安全问题。完整变更:
- 更新到版本 horizon-2013.2.5.dev2.g9ee7273:
- 修复了 Horizon 登录页面 DOS 攻击(bnc#908199,CVE-2014-8124)
- 将版本更新到 2013.2.5
- 依据全局要求进行更新
- 将 docutils 固定到 0.9.1
- 在 tox.ini 中将 python 哈希种子设为 0
- 在每个可用性区域中检查主机是否不是“无”
- 修复 unordered_list 过滤器中的 XSS 问题(bnc#891815,CVE-2014-3594)
+ 0001-Use-default_project_id-for-v3-users.patch(手动)
- 在测试中将 UserManager 替换为“无”
- 更新测试要求以修复 sphinx build_doc
- 修复多种跨站脚本 (XSS) 漏洞(bnc#885588,CVE-2014-3473,CVE-2014-3474,CVE-2014-3475)
- 修复导入登录表单的问题
缺陷 869696 - Horizon Dashboard 中的管理员密码注入中断。
- 更新到版本 horizon-2013.2.4.dev8.g07c097f:
- 在 neutron 的 API 中进行缺陷修复,以返回正确的目标 ID
- 修复 Rebuild Instance 中的图像显示
- 从 Neutron 获取实例网络信息
- 将稳定/havana 下一版本升级到 2013.2.4
- 在解除关联操作之后不释放 FIP
- 在 Horizon/Orchestration 2013.2.3 中引入转义(bnc#871855,CVE-2014-0157)
- 更新到版本 horizon-2013.2.3.dev8.g3d04c3c:
- 减少 novaclient 调用的次数
- 升级风格时,不复制 flavorid
- 允许对已暂停和挂起的实例进行快照
- 修复测试,从而与 keystoneclient 0.6.0 一起使用
- 将稳定/havana 下一版本升级到 2013.2.3
+ 将上游 URL 作为来源(启用验证)
+ 导入 Havana 2013.2.2 更新的转换
- 更新到版本 2013.2.2.dev29.g96bd650:
+ 更新 havana 的 Transifex 资源名称
+ 修复负载平衡的 Horizon 中的不当注销
- 更新到版本 2013.2.2.dev25.g6508afd:
+ 禁用 cinder 时,禁用卷创建
+ 检查错误的工作流程步骤:has_required_fields
+ 在检索 LBaaS/VPNaaS 资源时,指定 tenant_id
- 更新到版本 2013.2.2.dev19.g7a8eadc:
+ 为 HealthMonitor 提供适当的显示名称
- 更新到版本 2013.2.2.dev17.gaa55b24:
+ 普通 keystone 版本回退
- 将 settings.py(默认设置)移至 branding-upstream 子程序包:branding 程序包可能要更改某些默认设置。
- 添加 0001-Common-keystone-version-fallback.patch,0001-Use-default_project_id-for-v3-users.patch
- 更新到版本 2013.2.2.dev15.g2b6dfa7:
+ 修复了“创建图像”窗口中帮助文本
+ 更改 scrollShift 的计算方法
+ 统一 keypair 名称处理
- 添加 0001-Give-no-background-color-to-the-pie-charts.patch:
不为饼图添加背景色。
- 更新到版本 2013.2.2.dev9.gc6d38a1:
+ 向 keystone 发送的标记有误
- 更新到版本 2013.2.2.dev7.g2e11482:
+ 将 management_url 添加至测试 mock 客户端
- 添加 0001-Bad-workflow-steps-check-has_required_fields.patch
- 使 python-horizon 要求 python-horizon-branding 的 2013.2 版本(而不是 2013.2.xyz 版本)。从而更容易创建非上游 branding;我们已为其他 branding 子程序包采取这种措施。
- 更新到版本 2013.2.2.dev6.g2c1f1f3:
+ 为 BlockDeviceMappingV2 nova 扩展添加检查
+ 从容处理没有电子邮件属性的用户
+ 从 oslo 导入 install_venv
- 将稳定/havana 下一版本升级到 2013.2.2
- 更新到版本 2013.2.1.dev41.g9668e80:
+ 依据全局要求进行更新
- 将所有内容放在 /srv/www/openstack-dashboard 下
- 更新到版本 2013.2.1.dev40.g852e5c8:
+ 导入 Havana 2013.2.1 更新的翻译
+ 从资源使用情况页面删除统计数据表
+ 允许 spinner 中的“工作”具备可转换性
+ lbaas/horizon - 创建 lb 时添加 tcp 协议选择
+ 修复一个缺陷,LBaaS 中的某些可选字段是必填字段
+ 修复缺陷,从而转义的 html 不在卷分离对话框中显示
+ 角色名不应在域组对话框中进行转换
+ 修复对“更新成员”小部件的不完整转换
+ 修复“已注入的文件路径字节”中可转换的字符串
+ 将额外的扩展文件添加至 makemessage 命令行
+ 将上下文标记添加至 BatchAction 消息
+ 在用户自己更改密码之后,将用户注销
+ 添加 iso8601 模块的登录配置
+ 确保所有计算器均在下拉内容中列出
+ 在显示来自 Nova 的字符串之前,通过对其进行转义修复缺陷(bnc#852175,CVE-2013-6858)
- 添加/使用通用的 openstack-branding 内容
- 更新到版本 2013.2.1.dev9.g842ba5f:
+ 修复安全组模板中 MS SQL 的默认端口
+ 为 instance:<type> 指示器提供缺失的悬停提示
+ 翻译文本:“子网”/“子网详情”
+ 将“租户”改为“项目”
+ 避免放弃计量数据的精确度
- 将 Django 的 signed_cookies 会话后端用作上游,并终止使用 cache_db
- 无需再设置 SECRET_KEY,上游也对此有所了解
python-django_openstack_auth 已更新到 1.1.3:
- 各种 i18n 补丁
- 注销或变更租户时,撤销标记
- 在本地运行测试,从而将测试程序包合并到 main
- 正确构建并安装 HTML 文档
- 添加 pt_BR 区域设置
- 已更新(构建)要求
- 添加 django_openstack_auth-hacking-requires.patch:
hacking dep 无意义
- 包含测试运行程序
- 添加 -test 子程序包
解决方案
更新受影响的 openstack-dashboard 程序包。另见
https://bugzilla.opensuse.org/show_bug.cgi?id=852175
https://bugzilla.opensuse.org/show_bug.cgi?id=869696
https://bugzilla.opensuse.org/show_bug.cgi?id=871855
https://bugzilla.opensuse.org/show_bug.cgi?id=885588
https://bugzilla.opensuse.org/show_bug.cgi?id=891815
https://bugzilla.opensuse.org/show_bug.cgi?id=908199
https://lists.opensuse.org/opensuse-updates/2015-01/msg00040.html
插件详情
严重性: Medium
ID: 80842
文件名: openSUSE-2015-39.nasl
版本: 1.4
类型: local
代理: unix
发布时间: 2015/1/20
最近更新时间: 2021/1/19
支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Nessus
风险信息
VPR
风险因素: Low
分数: 3.8
CVSS v2
风险因素: Medium
基本分数: 4.3
矢量: CVSS2#AV:N/AC:M/Au:N/C:N/I:P/A:N
漏洞信息
CPE: p-cpe:/a:novell:opensuse:openstack-dashboard, p-cpe:/a:novell:opensuse:openstack-dashboard-branding-upstream, p-cpe:/a:novell:opensuse:openstack-dashboard-test, p-cpe:/a:novell:opensuse:python-django_openstack_auth, p-cpe:/a:novell:opensuse:python-horizon, p-cpe:/a:novell:opensuse:python-horizon-branding-upstream, cpe:/o:novell:opensuse:13.1
必需的 KB 项: Host/local_checks_enabled, Host/SuSE/release, Host/SuSE/rpm-list
补丁发布日期: 2015/1/10
参考资料信息
CVE: CVE-2013-6858, CVE-2014-0157, CVE-2014-3473, CVE-2014-3474, CVE-2014-3475, CVE-2014-3594, CVE-2014-8124