RHEV-M XSS Zafiyeti ve Giderilmesi

Yazıma başlamadan önce RHEV konusundaki gereksinimleri ve alt yapıyı bana sağlayan ENDERSYS A.Ş. ve Ömer Faruk ŞEN teşekkürü borç bilirim.

Bu yazımda RHEV Manager da tespit etmiş olduğum Cross site script zafiyeti, zafiyet için yayınlanan bug fix ve zafiyetin nasıl giderildiğinden bahsediyor olacağım. Konu ile ilgili redhat ın yayınlamış olduğu bug fix içeriğine buradan erişebilirsiniz. Bugzilla için buraya tıklayın.

NOT : Bug fix içeriğinde gördüğünüz gibi redhat zafiyeti bulan kişiye teşekkür ediyor.(Yani bana :)) Bu kültürün ülkemizde de olması gerektiği düşüncesindeyim, Türkiye de zafiyet bildirimi gerçekleştirdiğinizde yanıt bile alamayabiliyorsunuz. 🙂
[important]Red Hat would like to thank Kayhan KAYIHAN of Endersys A.Ş. for reporting
this issue.[/important]

Şimdi gelelim asıl konuya blogumu takip eden arkadaşların bildiği gibi bir süredir Redhat ın sanallaştırma çözümü olan RHEV ile ilgileniyorum. RHEV ile ilgilendiğim süre içerisinde RHEV in manager uygulamasında bir zafiyet keşfettim ve redhat ile iletişime geçerek durumu raporladım. (2013-07-26)

Dün itibari ile raporladığım zafiyet için bugfix  yayınlandı, RHEV-M kullanıcılarının zafiyetten etkilenmemeleri için bu bugfix update işlemini gerçekleştirmeleri gerekmekte.

Öncelikle sistemimizin tamamı ile güncel olmasında fayda var,

[important]yum -y upgrade[/important]

Sistem güncellemelerinde kernel update var ise sistemi reboot  edelim.

Sistemi güncellemesinden sonra sıra RHEV Manager uygulamasını upgrade ederek cross site script zafiyetinden kurtulmaya geldi.

Güncellenecek paketleri görmek isterseniz rhevm-check-update komutunu kullanabilirsiniz.

 

[important][root@rhevm ~]# rhevm-check-update

Checking for updates… (This may take several minutes)…[ DONE ]
20 Updates available:
* rhevm-3.2.2-0.41.el6ev.noarch
* rhevm-3.2.3-0.42.el6ev.noarch
* rhevm-backend-3.2.2-0.41.el6ev.noarch
* rhevm-backend-3.2.3-0.42.el6ev.noarch
* rhevm-config-3.2.2-0.41.el6ev.noarch
* rhevm-config-3.2.3-0.42.el6ev.noarch
* rhevm-dbscripts-3.2.2-0.41.el6ev.noarch
* rhevm-dbscripts-3.2.3-0.42.el6ev.noarch
* rhevm-genericapi-3.2.2-0.41.el6ev.noarch
* rhevm-genericapi-3.2.3-0.42.el6ev.noarch
* rhevm-notification-service-3.2.2-0.41.el6ev.noarch
* rhevm-notification-service-3.2.3-0.42.el6ev.noarch
* rhevm-restapi-3.2.2-0.41.el6ev.noarch
* rhevm-restapi-3.2.3-0.42.el6ev.noarch
* rhevm-tools-common-3.2.2-0.41.el6ev.noarch
* rhevm-tools-common-3.2.3-0.42.el6ev.noarch
* rhevm-userportal-3.2.2-0.41.el6ev.noarch
* rhevm-userportal-3.2.3-0.42.el6ev.noarch
* rhevm-webadmin-portal-3.2.2-0.41.el6ev.noarch
* rhevm-webadmin-portal-3.2.3-0.42.el6ev.noarch
Starting ovirt-engine service…                     [ DONE ][/important]

 

Bug fix için yukarıda vermiş olduğum linkteki paketlerinde arasında bulunduğu bir takım upgrade paketleri var. Upgrade işlemine başlayabiliriz.

 

[important] [root@rhevm ~]# rhevm-upgrade

Checking for updates… (This may take several minutes)…[ DONE ]
20 Updates available:
* rhevm-3.2.2-0.41.el6ev.noarch
* rhevm-3.2.3-0.42.el6ev.noarch
* rhevm-backend-3.2.2-0.41.el6ev.noarch
* rhevm-backend-3.2.3-0.42.el6ev.noarch
* rhevm-config-3.2.2-0.41.el6ev.noarch
* rhevm-config-3.2.3-0.42.el6ev.noarch
* rhevm-dbscripts-3.2.2-0.41.el6ev.noarch
* rhevm-dbscripts-3.2.3-0.42.el6ev.noarch
* rhevm-genericapi-3.2.2-0.41.el6ev.noarch
* rhevm-genericapi-3.2.3-0.42.el6ev.noarch
* rhevm-notification-service-3.2.2-0.41.el6ev.noarch
* rhevm-notification-service-3.2.3-0.42.el6ev.noarch
* rhevm-restapi-3.2.2-0.41.el6ev.noarch
* rhevm-restapi-3.2.3-0.42.el6ev.noarch
* rhevm-tools-common-3.2.2-0.41.el6ev.noarch
* rhevm-tools-common-3.2.3-0.42.el6ev.noarch
* rhevm-userportal-3.2.2-0.41.el6ev.noarch
* rhevm-userportal-3.2.3-0.42.el6ev.noarch
* rhevm-webadmin-portal-3.2.2-0.41.el6ev.noarch
* rhevm-webadmin-portal-3.2.3-0.42.el6ev.noarch

During the upgrade process, RHEV Manager  will not be accessible.
All existing running virtual machines will continue but you will not be able to
start or stop any new virtual machines during the process.

Would you like to proceed? (yes|no): yes
Stopping ovirt-engine service…                     [ DONE ]
Stopping DB related services…                      [ DONE ]
Cleaning async tasks…                              [ DONE ]
Pre-upgrade validations…                           [ DONE ]
Backing Up Database…                               [ DONE ]
Rename Database…                                   [ DONE ]
Updating rpms…                                     [ DONE ]
Updating Database…                                 [ DONE ]
Restore Database name…                             [ DONE ]
Preparing CA…                                      [ DONE ]
Running post install configuration…                [ DONE ]
Starting ovirt-engine service…                     [ DONE ]
Starting DB related services…                      [ DONE ]

RHEV Manager upgrade completed successfully!

* Upgrade log available at /var/log/ovirt-engine/ovirt-engine-upgrade_2013_09_11_16_03_40.log
* Perform the following steps to upgrade the history service or the reporting package:
1. Execute: yum update rhevm-reports*
2. Execute: rhevm-dwh-setup
3. Execute: rhevm-reports-setup
* DB Backup available at  /var/lib/ovirt-engine/backups/ovirt-engine_db_backup_2013_09_11_16_03_43.sql
[root@rhevm ~]# yum update rhevm-reports*
Loaded plugins: product-id, rhnplugin, security, subscription-manager, versionlock
This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
This system is receiving updates from RHN Classic or RHN Satellite.
Setting up Update Process
No Packages marked for Update
[root@rhevm ~]# rhevm-dwh-setup
In order to proceed the installer must stop the ovirt-engine service
Would you like to stop the ovirt-engine service? (yes|no): yes
Stopping ovirt-engine…                              [ DONE ]
Setting DB connectivity…                            [ DONE ]
Upgrade DB…                                         [ DONE ]
Starting ovirt-engine…                              [ DONE ]
Starting oVirt-ETL…                                 [ DONE ]
Successfully installed rhevm-dwh.
The installation log file is available at: /var/log/ovirt-engine/rhevm-dwh-setup-2013_09_11_16_33_08.log
[root@rhevm ~]# rhevm-reports-setup
Welcome to ovirt-engine-reports setup utility
In order to proceed the installer must stop the ovirt-engine service
Would you like to stop the ovirt-engine service? (yes|no): yes
Stopping ovirt-engine…                              [ DONE ]
Editing XML files…                                  [ DONE ]
Setting DB connectivity…                            [ DONE ]
Backing up Installation…                            [ DONE ]
Backing up reports DB…                              [ DONE ]
Exporting adhoc reports…                            [ DONE ]
Exporting scheduled reports…                        [ DONE ]
Exporting current users…                            [ DONE ]
Deploying Server…                                   [ DONE ]
Updating Redirect Servlet…                          [ DONE ]
Importing current users…                            [ DONE ]
Importing adhoc reports…                            [ DONE ]
Importing reports…                                  [ DONE ]
Importing current users…                            [ DONE ]
Customizing Server…                                 [ DONE ]
Importing scheduled reports…                        [ DONE ]
Running post setup steps…                           [ DONE ]
Starting ovirt-engine…                              [ DONE ]
Succesfully installed ovirt-engine-reports.
The installation log file is available at: /var/log/ovirt-engine/ovirt-engine-reports-setup-2013_09_11_16_34_02.log
[root@rhevm ~]#[/important]

Upgrade işlemi sonrasında RHEV manager daki zafiyet sonlanmış oluyor.

Güvenliğiniz için hızlı aksiyonlar almanızı tavsiye ederim.

RHEV ile güvenli ve mutlu günler 🙂

Share Button

Bir cevap yazın