RHEL 6:Virtualization Manager (RHSA-2015:0158)
medium Nessus 插件 ID 85712
语言:
简介
远程 Red Hat 主机缺少一个或多个安全更新。描述
Red Hat Enterprise Virtualization Manager 3.5.0 现在可用。Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
Red Hat Enterprise Virtualization Manager 是可视化工具,用于集中管理运行 Red Hat Enterprise Linux 和 Microsoft Windows 的虚拟服务器的集合。此程序包也包括 Red Hat Enterprise Virtualization Manager API,即一组可编脚本的命令,使管理员能够执行有关 Red Hat Enterprise Virtualization Manager 的查询和操作。
Manager 是 JBoss Application Server 应用程序,该用应程序提供了多个界面,可通过这些界面访问虚拟环境并与之交互,其中包括管理门户、用户门户以及表述性状态转移 (REST) 应用程序编程接口 (API)。
已发现 HttpClient 错误地从 X.509 证书主题的公用名 (CN) 字段中提取主机名。中间人攻击者可利用此缺陷,使用特别构建的 X.509 证书欺骗 SSL 服务器。(CVE-2012-6153、CVE-2014-3577)
在 oVirt REST API 中发现一个跨站请求伪造 (CSRF) 缺陷。远程攻击者可提供特别构建的网页,由具备有效 REST API 会话的用户访问后,将允许攻击者触发对 oVirt REST API 的调用。
(CVE-2014-0151)
已发现在设置具有 Set-Cookie 标头的会话 ID 时 oVirt Web 管理员界面不包括 HttpOnly 标记。
此缺陷可使远程攻击者更容易通过利用跨站脚本 (XSS) 漏洞来劫持 oVirt Web 管理员会话。(CVE-2014-0154)
CVE-2012-6153 问题由 Red Hat 产品安全的 Florian Weimer 发现。
这些更新后的 Red Hat Enterprise Virtualization Manager 程序包也包含大量缺陷补丁和各种增强。空间有限,无法在此公告中记载所有这些更改。有关这些最重要的变更的信息,用户可参阅在“参考”部分中链接的 Red Hat Enterprise Virtualization 3.5 Manager 发行说明文档。
建议所有 Red Hat Enterprise Virtualization Manager 用户升级这些更新后的程序包其中解决了这些问题并添加这些增强。
解决方案
更新受影响的数据包。另见
https://access.redhat.com/documentation/en-US/
https://access.redhat.com/errata/RHSA-2015:0158
https://access.redhat.com/security/cve/cve-2012-6153
https://access.redhat.com/security/cve/cve-2014-3577
插件详情
严重性: Medium
ID: 85712
文件名: redhat-RHSA-2015-0158.nasl
版本: 2.9
类型: local
代理: unix
发布时间: 2015/9/1
最近更新时间: 2019/10/24
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: Medium
基本分数: 6.8
时间分数: 5
矢量: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:P
漏洞信息
CPE: p-cpe:/a:redhat:enterprise_linux:rhevm, p-cpe:/a:redhat:enterprise_linux:rhevm-backend, p-cpe:/a:redhat:enterprise_linux:rhevm-dbscripts, p-cpe:/a:redhat:enterprise_linux:rhevm-extensions-api-impl, p-cpe:/a:redhat:enterprise_linux:rhevm-extensions-api-impl-javadoc, p-cpe:/a:redhat:enterprise_linux:rhevm-lib, p-cpe:/a:redhat:enterprise_linux:rhevm-restapi, p-cpe:/a:redhat:enterprise_linux:rhevm-setup, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-base, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-allinone, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-ovirt-engine, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-ovirt-engine-common, p-cpe:/a:redhat:enterprise_linux:rhevm-setup-plugin-websocket-proxy, p-cpe:/a:redhat:enterprise_linux:rhevm-tools, p-cpe:/a:redhat:enterprise_linux:rhevm-userportal, p-cpe:/a:redhat:enterprise_linux:rhevm-webadmin-portal, p-cpe:/a:redhat:enterprise_linux:rhevm-websocket-proxy, cpe:/o:redhat:enterprise_linux:6
必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu
易利用性: No known exploits are available
补丁发布日期: 2015/2/11
漏洞发布日期: 2014/8/21
参考资料信息
CVE: CVE-2012-6153, CVE-2014-0151, CVE-2014-0154, CVE-2014-3577
RHSA: 2015:0158