CentOS 7:pacemaker (CESA-2015:2383)
high Nessus 插件 ID 87155
语言:
简介
远程 CentOS 主机缺少一个或多个安全更新。描述
更新后的 pacemaker 程序包修复了一个安全问题和若干缺陷,并添加了两项增强,现在可用于Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。
Pacemaker Resource Manager 是一系列技术,这些技术共同作用以提供数据完整性,并在发生错误时维护应用程序可用性。
特定情况下在 pacemaker(一个群集资源管理器)评估添加的节点的方式中发现一个缺陷。具有只读访问权限的用户可能将任何其他现有角色分配给自己,然后向其他用户添加权限。(CVE-2015-1867)
pacemaker 程序包已升级到上游版本 1.1.13,其提供了对之前版本的多项缺陷补丁和增强。(BZ#1234680)
此更新还修复以下缺陷:
* 如果 Pacemaker 群集包含 Apache 资源,那么启用 Apache 的 mod_systemd 模块后,系统会拒绝 Apache 发送的通知。因此,系统日志中会出现大量以下格式的错误:
收到来自 PID XXXX 的通知消息,但是,仅 PID YYYY 有权接收
通过此更新,lrmd 后台程序会在上述情况下取消设置“NOTIFY_SOCKET”变量,并且不会再记录这些错误消息。(BZ#1150184)
* 以前,如果将远程客户机节点指定为 Pacemaker 群集中群组资源的一部分,将导致该节点停止工作。此次更新添加了对 Pacemaker 群组资源中远程客户机的支持,因而不会再出现上述问题。(BZ#1168637)
* 如果 Pacemaker 群集中的某个资源启动失败,即便使用“on-fail=ignore”选项,Pacemaker 仍然会更新该资源的上次失败时间,并增加其失败计数。在某些情况下,这会造成资源启动失败时发生意外资源迁移。现在,使用“on-fail=ignore”时,Pacemaker 将不再更新失败计数。现在,群集状态输出中会显示该失败,但会适当对其进行忽略,因而不会导致资源迁移。(BZ#1200849)
* 以前,Pacemaker 解析 pcmk_host_map 字符串时支持分号(“;”)作为分隔符,但解析 pcmk_host_list 字符串时则不支持。为了确保一致的用户体验,现在解析 pcmk_host_list 时也支持分号作为分隔符。(BZ#1206232)
此外,此更新还添加了以下增强:
* 现在,如果 Pacemaker 位置限制具有“resource-discovery=never”选项,Pacemaker 不会尝试确定指定服务是否在指定节点上运行。此外,如果针对给定资源存在多个位置限制指定“resource-discovery=exclusive”,那么 Pacemaker 仅在这些限制中所指定的节点上尝试资源发现。因此,如果在某些节点上尝试该操作导致错误或其他不良问题,Pacemaker 可以跳过对这些节点的资源发现。(BZ#1108853)
* 已简化针对冗余电源供应的配置隔离过程,以防止多个节点同时访问群集资源导致数据损坏。
有关详细信息,请参阅“高可用性附加组件”参考手册的“隔离:配置 STONITH”一章。(BZ#1206647)
* 已修改“crm_mon”和“pcs_status”命令的输出,使其更加简明扼要,以便在报告包含大量远程节点和克隆资源的 Pacemaker 群集状态时,更加清晰可读。(BZ#1115840)
建议所有 pacemaker 用户升级这些更新后的程序包,其中修正了这些问题并添加这些增强。
解决方案
更新受影响的 pacemaker 程序包。另见
插件详情
严重性: High
ID: 87155
文件名: centos_RHSA-2015-2383.nasl
版本: 2.8
类型: local
代理: unix
发布时间: 2015/12/2
最近更新时间: 2021/1/4
支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus
风险信息
VPR
风险因素: Medium
分数: 5.9
CVSS v2
风险因素: High
基本分数: 7.5
时间分数: 5.5
矢量: CVSS2#AV:N/AC:L/Au:N/C:P/I:P/A:P
CVSS 分数来源: CVE-2015-1867
漏洞信息
CPE: p-cpe:/a:centos:centos:pacemaker, p-cpe:/a:centos:centos:pacemaker-cli, p-cpe:/a:centos:centos:pacemaker-cluster-libs, p-cpe:/a:centos:centos:pacemaker-cts, p-cpe:/a:centos:centos:pacemaker-doc, p-cpe:/a:centos:centos:pacemaker-libs, p-cpe:/a:centos:centos:pacemaker-libs-devel, p-cpe:/a:centos:centos:pacemaker-nagios-plugins-metadata, p-cpe:/a:centos:centos:pacemaker-remote, cpe:/o:centos:centos:7
必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list
易利用性: No known exploits are available
补丁发布日期: 2015/11/30
漏洞发布日期: 2015/8/12
参考资料信息
CVE: CVE-2015-1867
RHSA: 2015:2383