RHEL 6 / 7:Satellite 6.1.7 (RHSA-2016:0174)

medium Nessus 插件 ID 88746

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新后的 Satellite 6.1 程序包修复了一个安全问题、添加了一项增强并修复了多个缺陷,可用于 Satellite 6.1.7。

Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数,其给出了详细的严重性等级。

Red Hat Satellite 是一个系统管理解决方案,它使组织能够配置和维护其系统,而无需为自身服务器或其他客户端系统提供公共 Internet 访问。该解决方案可执行预定义标准操作环境的设置和配置管理。

在智能类参数/变量字段中发现一个存储的跨站脚本 (XSS) 缺陷。通过向 Satellite 发送特别构建的请求,经认证的远程攻击者可将 HTML 内容嵌入存储的数据,并可将恶意内容注入用于查看该数据的网页中。(CVE-2015-7518)

此更新还修复以下缺陷:

* 新的开发人员订阅规则造成指令清单导入 Satellite 失败。订阅引擎已更新,现在可以正确处理这些新订阅规则。(BZ#1301812)

* 内容同步负载过重,造成任务显示为尚未停止。内容引擎已更新,现在可以处理这些含有不同负载量的消息。(BZ#1300811)

* /var/lib/pulp/ 目录中删除的目录造成内容同步期间发生与“丢失符号链接”相关的错误。程序代码已更新,现在可以发现被删除的目录并视需要重新创建。(BZ#1288855、BZ#1276911)

* 网络 API 返回不包含接口标识符的 JSON 输出。此数据对于脚本处理非常重要,已添加到 API 响应中。(BZ#1282539)

* 针对 Red Hat Enterprise Virtualization (RHEV) 进行配置时,未传递操作系统信息,造成配置失败。RHEV 的接口已更新,修复了此缺陷。
(BZ#1279631)

* 通过命令行发起的增量更新因发生“找不到 ID”错误而失败。命令行接口已修复,提供了正确的 ID,修正了此缺陷。(BZ#1259057)

* 发布内容时 Satellite 使用大量 inode。
改善了内部文件处理,减少了所需的符号链接和 inode 数量。(BZ#1244130)

* 在含有多个 NIC 的 VMware 上配置时未正确处理标签。改善了 VMware 的接口,现在可以正确处理这种情况。(BZ#1197156)

* 之前无法正确报告 Capsule 上失败的同步任务,在 Web UI 中会显示为成功。改善了错误处理逻辑,现在可以显示正确的任务状态。(BZ#1215838)

* Satellite 同步拥有相同 epoch、名称、版本、版次和架构 (ENVRA),但由不同校验和签名的的重复套件。这造成客户端尝试从存储库安装的问题。程序代码已更新,现在可以遵循主要元数据,且只下载一个程序包。(BZ#1132659)

建议 Red Hat Satellite 的用户升级这些更新后的程序包,其中包含用于修正这些问题的向后移植的修补程序,并添加了此增强。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/errata/RHSA-2016:0174

https://access.redhat.com/security/cve/cve-2015-7518

插件详情

严重性: Medium

ID: 88746

文件名: redhat-RHSA-2016-0174.nasl

版本: 2.7

类型: local

代理: unix

发布时间: 2016/2/16

最近更新时间: 2019/10/24

支持的传感器: Agentless Assessment, Frictionless Assessment Agent, Frictionless Assessment AWS, Frictionless Assessment Azure, Nessus Agent

风险信息

VPR

风险因素: Low

分数: 3

CVSS v2

风险因素: Medium

基本分数: 4.3

矢量: AV:N/AC:M/Au:N/C:N/I:P/A:N

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:candlepin, p-cpe:/a:redhat:enterprise_linux:candlepin-selinux, p-cpe:/a:redhat:enterprise_linux:candlepin-tomcat, p-cpe:/a:redhat:enterprise_linux:candlepin-tomcat6, p-cpe:/a:redhat:enterprise_linux:foreman, p-cpe:/a:redhat:enterprise_linux:foreman-compute, p-cpe:/a:redhat:enterprise_linux:foreman-debug, p-cpe:/a:redhat:enterprise_linux:foreman-gce, p-cpe:/a:redhat:enterprise_linux:foreman-libvirt, p-cpe:/a:redhat:enterprise_linux:foreman-ovirt, p-cpe:/a:redhat:enterprise_linux:foreman-postgresql, p-cpe:/a:redhat:enterprise_linux:foreman-vmware, p-cpe:/a:redhat:enterprise_linux:katello-installer, p-cpe:/a:redhat:enterprise_linux:katello-installer-base, p-cpe:/a:redhat:enterprise_linux:pulp-admin-client, p-cpe:/a:redhat:enterprise_linux:pulp-nodes-child, p-cpe:/a:redhat:enterprise_linux:pulp-nodes-common, p-cpe:/a:redhat:enterprise_linux:pulp-nodes-parent, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-admin-extensions, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-plugins, p-cpe:/a:redhat:enterprise_linux:pulp-puppet-tools, p-cpe:/a:redhat:enterprise_linux:pulp-rpm-admin-extensions, p-cpe:/a:redhat:enterprise_linux:pulp-rpm-handlers, p-cpe:/a:redhat:enterprise_linux:pulp-rpm-plugins, p-cpe:/a:redhat:enterprise_linux:pulp-selinux, p-cpe:/a:redhat:enterprise_linux:pulp-server, p-cpe:/a:redhat:enterprise_linux:python-kombu, p-cpe:/a:redhat:enterprise_linux:python-pulp-agent-lib, p-cpe:/a:redhat:enterprise_linux:python-pulp-bindings, p-cpe:/a:redhat:enterprise_linux:python-pulp-client-lib, p-cpe:/a:redhat:enterprise_linux:python-pulp-common, p-cpe:/a:redhat:enterprise_linux:python-pulp-puppet-common, p-cpe:/a:redhat:enterprise_linux:python-pulp-rpm-common, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-fog, p-cpe:/a:redhat:enterprise_linux:ruby193-rubygem-katello, p-cpe:/a:redhat:enterprise_linux:rubygem-hammer_cli_katello, cpe:/o:redhat:enterprise_linux:6, cpe:/o:redhat:enterprise_linux:7

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

补丁发布日期: 2016/2/15

漏洞发布日期: 2015/12/17

参考资料信息

CVE: CVE-2015-7518

RHSA: 2016:0174