检测

RHEL 7 : subscription-manager (RHSA-2016:2592)

low Nessus 插件 ID 94555

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

subscription-manager、subscription-manager-migration-data 和 python-rhsm 的更新现可用于 Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。subscription-manager 程序包提供程序和库,允许用户从 Red Hat Entitlement 平台管理订阅和 yum 存储库。subscription-manager-migration-data 程序包提供可将系统从旧版 Red Hat Network Classic (RHN) 迁移到 Red Hat Subscription Management (RHSM) 的证书。python-rhsm 程序包提供可与 Red Hat Unified Entitlement Platform 的表述性状态传输 (REST) 接口进行通讯的库。Subscription Management 工具利用此接口管理系统授权、证书和内容访问权。下列程序包已升级到更新的上游版本:subscription-manager (1.17.15)、python-rhsm (1.17.9)、subscription-manager-migration-data (2.0.31)。(BZ#1328553, BZ#1328555, BZ# 1328559) 安全修复:* 已发现 subscription-manager 对 /var/lib/rhsm/ 中的文件设置弱许可,造成信息泄露。本地非特权用户可利用此缺陷访问敏感数据,这些数据可能会用于社会工程攻击。(CVE-2016-4455) Red Hat 在此感谢 Robert Scheck 报告此问题。其他更改:如需有关此发行版本的详细变更信息,请参阅可从“参考”部分链接的 Red Hat Enterprise Linux 7.3 版本说明。

解决方案

更新受影响的程序包。

另见

https://access.redhat.com/errata/RHSA-2016:2592

https://access.redhat.com/security/cve/cve-2016-4455

插件详情

严重性: Low

ID: 94555

文件名: redhat-RHSA-2016-2592.nasl

版本: 2.13

类型: local

代理: unix

发布时间: 2016/11/4

最近更新时间: 2019/10/24

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 2.2

CVSS v2

风险因素: Low

基本分数: 2.1

时间分数: 1.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

CVSS v3

风险因素: Low

基本分数: 3.3

时间分数: 2.9

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:python-rhsm, p-cpe:/a:redhat:enterprise_linux:python-rhsm-certificates, p-cpe:/a:redhat:enterprise_linux:python-rhsm-debuginfo, p-cpe:/a:redhat:enterprise_linux:subscription-manager, p-cpe:/a:redhat:enterprise_linux:subscription-manager-debuginfo, p-cpe:/a:redhat:enterprise_linux:subscription-manager-gui, p-cpe:/a:redhat:enterprise_linux:subscription-manager-initial-setup-addon, p-cpe:/a:redhat:enterprise_linux:subscription-manager-migration, p-cpe:/a:redhat:enterprise_linux:subscription-manager-migration-data, p-cpe:/a:redhat:enterprise_linux:subscription-manager-plugin-container, p-cpe:/a:redhat:enterprise_linux:subscription-manager-plugin-ostree, cpe:/o:redhat:enterprise_linux:7, cpe:/o:redhat:enterprise_linux:7.3, cpe:/o:redhat:enterprise_linux:7.4, cpe:/o:redhat:enterprise_linux:7.5, cpe:/o:redhat:enterprise_linux:7.6, cpe:/o:redhat:enterprise_linux:7.7

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2016/11/3

漏洞发布日期: 2017/4/14

参考资料信息

CVE: CVE-2016-4455

RHSA: 2016:2592