检测

RHEL 6:Gluster Storage (RHSA-2017:0484)

high Nessus 插件 ID 97928

语言:

简介

远程 Red Hat 主机缺少一个或多个安全更新。

描述

更新现在可用于 Red Hat Enterprise Linux 6 上的 Red Hat Gluster Storage 3.2。Red Hat 产品安全团队将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数,其针对每个漏洞给出了详细的严重性等级。Red Hat Gluster Storage 是一款纯软件向外扩展存储解决方案,提供灵活而实惠的非结构化数据存储。它能够统一数据存储和基础架构,提高性能,优化可用性和可管理性,以应对企业级的存储挑战。下列程序包已升级到更新的上游版本:glusterfs (3.8.4)、redhat-storage-server (3.2.0.3)。(BZ#1362373) 安全修复:* 已发现 glusterfs-server RPM 程序包会将具有可预测名称的文件写入全局可读的 / tmp 目录。本地攻击者可能会利用此缺陷,通过在安装 glusterfs-server 程序包期间修改 shell 脚本,以提升其权限。(CVE-2015-1795) 此问题由 Red Hat 产品安全的 Florian Weimer 发现。缺陷补丁:* 如果服务器 quorum 不再相符,或如果禁用服务器 quorum,则程序块保持停止状态,以确保维护中的程序块不会错误开启。(BZ#1340995) * 已更新元数据缓冲转换器,可提高 Red Hat Gluster Storage 读取小文件时的性能。(BZ#1427783) * 当副本计数增加且无任何可用的副本程序块时,不再允许 ‘gluster volume add-brick’ 命令。(BZ# 1404989) * 无论是否启用客户端修复或自动修复守护进程,分区解决方案命令都会有效。(BZ#1403840) 增强功能:* Red Hat Gluster Storage 现在为 Samba 和 NFS-Ganesha 提供传输层安全支持。(BZ#1340608, BZ#1371475) * 新 reset-sync-time 选项可在需要时将同步时间属性重置为零。(BZ#1205162) * 分层降级现在最多会于高水位线泄露事件发生后 5 秒触发。管理员可使用 cluster.tier-query-limit volume 参数,指定降级期间从热数据库中提取记录的数量。(BZ#1361759) * /var/log/glusterfs/etc-glusterfs-glusterd.vol.log 现在命名为 /var/log/glusterfs/glusterd.log。(BZ#1306120) * 有了新命令 ‘gluster volume tier VOLNAME attach/detach’ 之后,‘gluster volume attach-tier/detach-tier’ 命令视为弃用。(BZ#1388464) * Red Hat Gluster Storage 不再使用 anesha-ha.conf 文件中的 HA_VOL_SERVER 参数。(BZ#1348954) * 当某一服务器不可用时,volfile 服务器角色现在可传至另一服务器。(BZ#1351949) * 现在可复用其他服务不再使用的端口。(BZ# 1263090) * 重新平衡进程的线程池限制现在为动态,并基于可用核心数量确定。(BZ#1352805) * 重启时的程序块验证现在使用 UUID,而非程序块路径。(BZ# 1336267) * LOGIN_NAME_MAX 现在可用作从属用户的最大长度,而非 __POSIX_LOGIN_NAME_MAX,其允许达到包括空字节在内的 256 个字符。(BZ#1400365) * 客户端标识符现在包括在日志消息中,可轻松确定连接失败的客户端。(BZ#1333885)

解决方案

更新受影响的程序包。

另见

http://www.nessus.org/u?3a106d44

https://access.redhat.com/errata/RHSA-2017:0484

https://access.redhat.com/security/cve/cve-2015-1795

插件详情

严重性: High

ID: 97928

文件名: redhat-RHSA-2017-0484.nasl

版本: 3.13

类型: local

代理: unix

发布时间: 2017/3/24

最近更新时间: 2019/10/24

支持的传感器: Frictionless Assessment AWS, Frictionless Assessment Azure, Frictionless Assessment Agent, Nessus Agent, Agentless Assessment, Nessus

风险信息

VPR

风险因素: Medium

分数: 5.9

CVSS v2

风险因素: High

基本分数: 7.2

时间分数: 5.3

矢量: CVSS2#AV:L/AC:L/Au:N/C:C/I:C/A:C

CVSS v3

风险因素: High

基本分数: 7.8

时间分数: 6.8

矢量: CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H

时间矢量: CVSS:3.0/E:U/RL:O/RC:C

漏洞信息

CPE: p-cpe:/a:redhat:enterprise_linux:glusterfs, p-cpe:/a:redhat:enterprise_linux:glusterfs-api, p-cpe:/a:redhat:enterprise_linux:glusterfs-api-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-cli, p-cpe:/a:redhat:enterprise_linux:glusterfs-client-xlators, p-cpe:/a:redhat:enterprise_linux:glusterfs-debuginfo, p-cpe:/a:redhat:enterprise_linux:glusterfs-devel, p-cpe:/a:redhat:enterprise_linux:glusterfs-events, p-cpe:/a:redhat:enterprise_linux:glusterfs-fuse, p-cpe:/a:redhat:enterprise_linux:glusterfs-ganesha, p-cpe:/a:redhat:enterprise_linux:glusterfs-geo-replication, p-cpe:/a:redhat:enterprise_linux:glusterfs-libs, p-cpe:/a:redhat:enterprise_linux:glusterfs-rdma, p-cpe:/a:redhat:enterprise_linux:glusterfs-server, p-cpe:/a:redhat:enterprise_linux:python-gluster, p-cpe:/a:redhat:enterprise_linux:redhat-storage-server, cpe:/o:redhat:enterprise_linux:6

必需的 KB 项: Host/local_checks_enabled, Host/RedHat/release, Host/RedHat/rpm-list, Host/cpu

易利用性: No known exploits are available

补丁发布日期: 2017/3/23

漏洞发布日期: 2017/6/27

参考资料信息

CVE: CVE-2015-1795

RHSA: 2017:0484