pcs-0.9.162-5.el7.1

エラータID: AXSA:2018-2813:01

リリース日: 
2018/04/17 Tuesday - 12:31
題名: 
pcs-0.9.162-5.el7.1
影響のあるチャネル: 
Asianux Server 7 for x86_64
Severity: 
High
Description: 

以下項目について対処しました。

[Security Fix]
- Sinatra rack-protection には,ruby アプリケーションとネットワーク
接続が有る場合,チェックする CSRF トークンに,署名がさらされるタイミン
グ攻撃脆弱性があります。(CVE-2018-1000119)

- pcs にはユーザの不正な REST コールによる権限昇格の問題が存在し,
pcsd サービスの REST インターフェースが適切に /remote/put_file クエリ
からのファイル名を適切にサニタイズしておらず,/etc/booth ディレクトリ
が存在し,pscd プロセスのコンテクストで,書き込み権限を持つ認証された
攻撃者が /etc/booth ディレクトリの外側の任意のデータを作成する,あるい
は上書きする脆弱性があります。(CVE-2018-1079)

- pcs には,removal bypass デバッグパラメータに脆弱性があり,
pcsd サービスの REST インターフェースは適切に /run_pcs クエリから
pcs デバッグ引数を削除しておらず,機密情報を暴露してしまう可能性
があり,妥当なトークンを持つリモートの攻撃者がこの問題を用いて
権限昇格する脆弱性があります。(CVE-2018-1086)

一部CVEの翻訳文はJVNからの引用になります。
http://jvndb.jvn.jp/

解決策: 

パッケージをアップデートしてください。

追加情報: 

N/A

ダウンロード: 

SRPMS
  1. pcs-0.9.162-5.el7.1.src.rpm
    MD5: bf9d7a6c2c0f75532b8dd05ba6ac8d9f
    SHA-256: bc6522741954c8ed7e7a29b6c4df1b43365fc8fb014a518496d103732a14c0b0
    Size: 3.23 MB

Asianux Server 7 for x86_64
  1. pcs-0.9.162-5.el7.1.x86_64.rpm
    MD5: 859eadcf547373773639e8519ee8bc9c
    SHA-256: a153ced2fcbf7746b6ffd37b20db438a92534f2837e55e73897cd20436f354ee
    Size: 4.98 MB