检测

CentOS 7 : python-rhsm / subscription-manager (CESA-2016:2592)

low Nessus 插件 ID 95338

语言:

简介

远程 CentOS 主机缺少一个或多个安全更新。

描述

subscription-manager、subscription-manager-migration-data 和 python-rhsm 更新现可用于 Red Hat Enterprise Linux 7。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。subscription-manager 程序包提供程序和库,允许用户从 Red Hat Entitlement 平台管理订阅和 yum 存储库。subscription-manager-migration-data 程序包提供可将系统从旧版 Red Hat Network Classic (RHN) 迁移到 Red Hat Subscription Management (RHSM) 的证书。python-rhsm 程序包提供可与 Red Hat Unified Entitlement Platform 的表述性状态传输 (REST) 接口进行通讯的库。Subscription Management 工具利用此接口管理系统授权、证书和内容访问权。下列程序包已升级到更新的上游版本:subscription-manager (1.17.15)、python-rhsm (1.17.9)、subscription-manager-migration-data (2.0.31)。(BZ#1328553, BZ#1328555, BZ# 1328559) 安全修复:* 已发现 subscription-manager 对 /var/lib/rhsm/ 中的文件设置弱许可,造成信息泄露。本地非特权用户可利用此缺陷访问敏感数据,这些数据可能会用于社会工程攻击。(CVE-2016-4455) Red Hat 在此感谢 Robert Scheck 报告此问题。其他更改:如需有关此发行版本的详细变更信息,请参阅可从“参考”部分链接的 Red Hat Enterprise Linux 7.3 发行说明。

解决方案

更新受影响的 python-rhsm 和/或 subscription-manager 程序包。

另见

http://www.nessus.org/u?fd1a7d0e

http://www.nessus.org/u?0d566489

插件详情

严重性: Low

ID: 95338

文件名: centos_RHSA-2016-2592.nasl

版本: 3.7

类型: local

代理: unix

发布时间: 2016/11/28

最近更新时间: 2021/1/4

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Low

分数: 2.2

CVSS v2

风险因素: Low

基本分数: 2.1

时间分数: 1.6

矢量: CVSS2#AV:L/AC:L/Au:N/C:P/I:N/A:N

CVSS 分数来源: CVE-2016-4455

CVSS v3

风险因素: Low

基本分数: 3.3

时间分数: 2.9

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:L/I:N/A:N

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:centos:centos:python-rhsm, p-cpe:/a:centos:centos:python-rhsm-certificates, p-cpe:/a:centos:centos:subscription-manager, p-cpe:/a:centos:centos:subscription-manager-gui, p-cpe:/a:centos:centos:subscription-manager-initial-setup-addon, p-cpe:/a:centos:centos:subscription-manager-plugin-container, p-cpe:/a:centos:centos:subscription-manager-plugin-ostree, cpe:/o:centos:centos:7

必需的 KB 项: Host/local_checks_enabled, Host/CentOS/release, Host/CentOS/rpm-list

易利用性: No known exploits are available

补丁发布日期: 2016/11/25

漏洞发布日期: 2017/4/14

参考资料信息

CVE: CVE-2016-4455

RHSA: 2016:2592