Güvenlik

RHEV Manager 3.2 Kurulum ve Cross site script (XSS) Zafiyeti ve Bugfix Update

RHEV ve RHEV-M nedir?

 

RHEV in açılımı “Redhat Enterprise Virtualization” demektir. Redhat tarafından geliştirilmiş bu uygulama sanallaştırma için kullanılmaktadır, piyasadaki vmware, xen gibi düşünebiliriz.

 

RHEV-M ise sanallaştırma ortamımızı yönetmemiz için kullanacağımız bir web ara birimidir, bunu da vmware daki vcenter gibi düşünebiliriz.

 

 1- RHEV-M kurulumu

 

1.1 – Gereksinimler:

 

** Minimum :
A dual core CPU.
4 GB of available system RAM that is not being consumed by existing processes.
25 GB of locally accessible, writeable, disk space.
1 Network Interface Card (NIC) with bandwidth of at least 1 Gbps.

 

** Recommended :
A quad core CPU or multiple dual core CPUs.
16 GB of system RAM.
50 GB of locally accessible, writeable, disk space.
1 Network Interface Card (NIC) with bandwidth of at least 1 Gbps.

 

 1.2 – RHEV-M Administrator Portal Erişim için desteklenen OS ve Browser bilgileri,

 

  • Client

     

    • Windows XP,

       

    • Windows 7 (x86, AMD64 and Intel 64), and

       

    • Windows 2008/R2 (x86, AMD64 and Intel 64).

       

  • Browser

     

    • Internet Explorer 9, and later, on Microsoft Windows is required to access

 

1.3 – RHEV-M User Portal Erişim için desteklenen OS ve Browser bilgileri,

 

  • Client

     

    • Red Hat Enterprise Linux 5.5 (i386, AMD64 and Intel 64)

       

    • Red Hat Enterprise Linux 6.0 (i386, AMD64 and Intel 64)

       

    • Windows XP

       

    • Windows XP Embedded (XPe)

       

    • Windows 7 (x86, AMD64 and Intel 64)

       

    • Windows Embedded Standard 7

       

    • Windows 2008/R2 (x86, AMD64 and Intel 64)

       

    • Windows Embedded Standard 2009

       

    • Red Hat Enterprise Virtualization Certified Linux-based thin clients

       

  • Browser

     

    • Internet Explorer 8, and later, on Microsoft Windows is required to access

       

RHEV-M için kullanacak olduğumuz donanım ve yazılım gereksinimlerimiz hazır ise, RHEV-M kurulumuna geçebiliriz.

 

2 – RHEL 6.4 OS kurulumu:

 

RHEV-M kurulumu için öncelikle RHEL 6.4_x64(Redhat Enterprise Linux) kurulumu yapıyoruz, kurulum esnasında dikkat edilmesi gereken adım, sunucu hostname bilgisi, hostname bilgisi manager, rhevm gibi isimler olmamalıdır. rhevm.kayhankayihan.com şeklinde olmalıdır. rhevm.kayhankayihan.com için sunucu ip adresini gösteren bir dns kaydı olmalıdır, dns kaydı yok ise bile sunucunun hosts dosyasına yazılmalıdır. Rhn_register ile sunucu RHN(redhat network) register edilmelidir.

 

#rhn_register

 

 

 

3 – RHEL Channel Subscription :

 

RHEV-M kurulumu gerçekleştirebilmek için ek subscriptionlara register etmek gerekiyor, register edilmesi gereken channel listesi şu şekilde,

 

  • RHEL Server Supplementary (v. 6 64-bit x86_64) (Channel Details)

     

  • Red Hat Enterprise Virtualization Manager (v.3.2 x86_64) (Channel Details)

     

  • Red Hat JBoss EAP (v 6) for 6Server x86_64

     

 

 

4 – RHEL OS Upgrade :

 

İlgili channelara register edildikten sonra işletim sistemimizi upgrade ediyoruz, en güncel paketleri redhat networkünden çekiyoruz.

 

#yum upgrade –y

 

5 – RHEV-Manager Kurulumu :

 

rhevm-setup paketini rhn den kuruyoruz,

 

#yum install rhevm-setup.noarch -y

 

rhevm-setup komutu ile kurulumu başlatıyoruz.

 

Kurulum esnasında bize bazı sorular soracak, DB, storage tipi v.b. gibi. Aşağıda detayları mevcut. Bu bölümde kullandığınız disk tipi v.b. bilgileri seçebilirsiniz.

 

[[email protected] ~]# rhevm-setup
Availble memory (1877) is lower then the minimum requirments (4096)
Would you like to proceed? (yes|no): yes
Welcome to RHEV Manager setup utility

 

In order to proceed the installer must stop the ovirt-engine service
Would you like to stop the ovirt-engine service? (yes|no): yes
RHEV Manager uses httpd to proxy requests to the application server.
It looks like the httpd installed locally is being actively used.
The installer can override current configuration .
Alternatively you can use JBoss directly (on ports higher than 1024)
Do you wish to override current httpd configuration and restart the service? [‘yes’| ‘no’]  [yes] : yes
HTTP Port  [80] :
HTTPS Port  [443] :
Host fully qualified domain name. Note: this name should be fully resolvable  [rhevm.endersys.com] :
Enter a password for an internal RHEV Manager administrator user ([email protected]) :

Confirm password :

Organization Name for the Certificate  [endersys.com] :
The default storage type you will be using  [‘NFS’| ‘FC’| ‘ISCSI’| ‘POSIXFS’]  [NFS] : ISCSI
Enter DB type for installation [‘remote’| ‘local’]  [local] : local
Enter a password for a local RHEV Manager DB admin user (engine) :

Confirm password :

Configure NFS share on this server to be used as an ISO Domain? [‘yes’| ‘no’]  [yes] : yes
Local ISO domain path  [/var/lib/exports/iso] :
Firewall ports need to be opened.
The installer can configure firewall automatically overriding the current configuration. The old configuration will be backed up.
Alternately you can configure the firewall later using an example file.
Which firewall do you wish to configure? [‘None’| ‘iptables’]: None

 

RHEV Manager will be installed using the following configuration:


=================================================================
override-httpd-config:         yes
http-port:                     80
https-port:                    443
host-fqdn:                     rhevm2.endersys.com
auth-pass:                     ********
org-name:                      endersys.com
default-dc-type:               ISCSI
db-remote-install:             local
db-local-pass:                 ********
nfs-mp:                        /var/lib/exports/iso
config-nfs:                    yes
override-firewall:             None
Proceed with the configuration listed above? (yes|no): yes

 

Installing:
Configuring RHEV Manager…                             [ DONE ]
Configuring JVM…                                      [ DONE ]
Creating CA…                                          [ DONE ]
Updating ovirt-engine service…                        [ DONE ]
Setting Database Configuration…                       [ DONE ]
Setting Database Security…                            [ DONE ]
Creating Database…                                    [ DONE ]
Updating the Default Data Center Storage Type…        [ DONE ]
Editing RHEV Manager Configuration…                   [ DONE ]
Editing Postgresql Configuration…                     [ DONE ]
Configuring the Default ISO Domain…                   [ DONE ]
Configuring Firewall…                                 [ DONE ]
Starting ovirt-engine Service…                        [ DONE ]
Configuring HTTPD…                                    [ DONE ]

 

**** Installation completed successfully ******

 

(Please allow RHEV Manager a few moments to start up…..)

 

**** To access RHEV Manager browse to http://rhevm2.endersys.com:80 ****

 

Additional information:


* RHEV Manager CA SSL Certificate SHA1 fingerprint: 70:3B:64:11:6C:09:29:10:64:CD:03:FD:A8:B7:6B:42:13:DA:88:FA
* SSH Public key fingerprint: af:46:59:1c:83:0e:96:c7:7c:25:86:cf:f8:9e:35:72
* A default ISO share has been created on this host.
If IP based access restrictions are required, please edit /var/lib/exports/iso entry in /etc/exports
* RHEV Manager requires the following TCP/IP Incoming ports to be opened on the firewall:
22, 80, 443
* an example of the required configuration for iptables can be found at: /etc/ovirt-engine/iptables.example
* The installation log file is available at: /var/log/ovirt-engine/engine-setup_2013_08_29_13_49_58.log
* Please use the user “admin” and password specified in order to login into RHEV Manager
* To configure additional users, first configure authentication domains using the ‘rhevm-manage-domains’ utility

 

 

 

6 – RHEV OS Upgrade :

 

rhevm-setup ile kurmuş olduğumuz paketleri güncellemek adına son birkez daha işletim sistemimizi update etmekte fayda var.

 

#yum upgrade –y

 

7 – Admin portal erişimi :

 

Kurulumun sonunda da belirtmiş olduğu gibi aşağıdaki URL den RHEV-Manager uygulamasına web üzerinden erişim sağlayabiliriz.

 

8 – RHEV-M Web GUI Image :

 

clip_image002

 

clip_image004

 

clip_image006

 

 

RHEV Manager Cross site script (XSS) Zafiyeti ve Bugfix Update

 

Bu yazımda RHEV Manager da tespit etmiş olduğum Cross site script zafiyeti, zafiyet için yayınlanan bug fix ve zafiyetin nasıl giderildiğinden bahsediyor olacağım. Konu ile ilgili redhat ın yayınlamış olduğu bug fix içeriğine buradan erişebilirsiniz. Bugzilla için buraya tıklayın.

 

NOT: Bug fix içeriğinde gördüğünüz gibi redhat zafiyeti bulan kişiye teşekkür ediyor.(Yani bana ) Bu kültürün ülkemizde de olması gerektiği düşüncesindeyim, Türkiye de zafiyet bildirimi gerçekleştirdiğinizde yanıt bile alamayabiliyorsunuz.

 

Red Hat would like to thank Kayhan KAYIHAN of Endersys A.Ş. for reporting


this issue.

 

 

Şimdi gelelim asıl konuya blogumu takip eden arkadaşların bildiği gibi bir süredir Redhat ın sanallaştırma çözümü olan RHEV ile ilgileniyorum. RHEV ile ilgilendiğim süre içerisinde RHEV in manager uygulamasında bir zafiyet keşfettim ve redhat ile iletişime geçerek durumu raporladım. (2013-07-26)

 

Dün itibari ile raporladığım zafiyet için bugfix  yayınlandı, RHEV-M kullanıcılarının zafiyetten etkilenmemeleri için bu bugfix update işlemini gerçekleştirmeleri gerekmekte.

 

Öncelikle sistemimizin tamamı ile güncel olmasında fayda var, (yum -y upgrade)

 

Sistem güncellemelerinde kernel update var ise sistemi reboot  edelim.

 

Sistemi güncellemesinden sonra sıra RHEV Manager uygulamasını upgrade ederek cross site script zafiyetinden kurtulmaya geldi.

 

Güncellenecek paketleri görmek isterseniz rhevm-check-update komutunu kullanabilirsiniz.

 

[[email protected] ~]# rhevm-check-update

 

Checking for updates… (This may take several minutes)…[ DONE ]

20 Updates available:

* rhevm-3.2.2-0.41.el6ev.noarch
* rhevm-3.2.3-0.42.el6ev.noarch
* rhevm-backend-3.2.2-0.41.el6ev.noarch
* rhevm-backend-3.2.3-0.42.el6ev.noarch
* rhevm-config-3.2.2-0.41.el6ev.noarch
* rhevm-config-3.2.3-0.42.el6ev.noarch
* rhevm-dbscripts-3.2.2-0.41.el6ev.noarch
* rhevm-dbscripts-3.2.3-0.42.el6ev.noarch
* rhevm-genericapi-3.2.2-0.41.el6ev.noarch
* rhevm-genericapi-3.2.3-0.42.el6ev.noarch
* rhevm-notification-service-3.2.2-0.41.el6ev.noarch
* rhevm-notification-service-3.2.3-0.42.el6ev.noarch
* rhevm-restapi-3.2.2-0.41.el6ev.noarch
* rhevm-restapi-3.2.3-0.42.el6ev.noarch
* rhevm-tools-common-3.2.2-0.41.el6ev.noarch
* rhevm-tools-common-3.2.3-0.42.el6ev.noarch
* rhevm-userportal-3.2.2-0.41.el6ev.noarch
* rhevm-userportal-3.2.3-0.42.el6ev.noarch
* rhevm-webadmin-portal-3.2.2-0.41.el6ev.noarch
* rhevm-webadmin-portal-3.2.3-0.42.el6ev.noarch
Starting ovirt-engine service…                     [ DONE ]

 

 

 

Bug fix için yukarıda vermiş olduğum linkteki paketlerinde arasında bulunduğu bir takım upgrade paketleri var. Upgrade işlemine başlayabiliriz.

 

  [[email protected] ~]# rhevm-upgrade

 

Checking for updates… (This may take several minutes)…[ DONE ]

20 Updates available:
* rhevm-3.2.2-0.41.el6ev.noarch
* rhevm-3.2.3-0.42.el6ev.noarch
* rhevm-backend-3.2.2-0.41.el6ev.noarch
* rhevm-backend-3.2.3-0.42.el6ev.noarch
* rhevm-config-3.2.2-0.41.el6ev.noarch
* rhevm-config-3.2.3-0.42.el6ev.noarch
* rhevm-dbscripts-3.2.2-0.41.el6ev.noarch
* rhevm-dbscripts-3.2.3-0.42.el6ev.noarch
* rhevm-genericapi-3.2.2-0.41.el6ev.noarch
* rhevm-genericapi-3.2.3-0.42.el6ev.noarch
* rhevm-notification-service-3.2.2-0.41.el6ev.noarch
* rhevm-notification-service-3.2.3-0.42.el6ev.noarch
* rhevm-restapi-3.2.2-0.41.el6ev.noarch
* rhevm-restapi-3.2.3-0.42.el6ev.noarch
* rhevm-tools-common-3.2.2-0.41.el6ev.noarch
* rhevm-tools-common-3.2.3-0.42.el6ev.noarch
* rhevm-userportal-3.2.2-0.41.el6ev.noarch
* rhevm-userportal-3.2.3-0.42.el6ev.noarch
* rhevm-webadmin-portal-3.2.2-0.41.el6ev.noarch
* rhevm-webadmin-portal-3.2.3-0.42.el6ev.noarch

 

During the upgrade process, RHEV Manager  will not be accessible.

All existing running virtual machines will continue but you will not be able to

start or stop any new virtual machines during the process.

 

Would you like to proceed? (yes|no): yes
Stopping ovirt-engine service…                     [ DONE ]
Stopping DB related services…                      [ DONE ]
Cleaning async tasks…                              [ DONE ]
Pre-upgrade validations…                           [ DONE ]
Backing Up Database…                               [ DONE ]
Rename Database…                                   [ DONE ]
Updating rpms…                                     [ DONE ]
Updating Database…                                 [ DONE ]
Restore Database name…                             [ DONE ]
Preparing CA…                                      [ DONE ]
Running post install configuration…                [ DONE ]
Starting ovirt-engine service…                     [ DONE ]
Starting DB related services…                      [ DONE ]

 

RHEV Manager upgrade completed successfully!

 

* Upgrade log available at /var/log/ovirt-engine/ovirt-engine-upgrade_2013_09_11_16_03_40.log
* Perform the following steps to upgrade the history service or the reporting package:

1. Execute: yum update rhevm-reports*
2. Execute: rhevm-dwh-setup
3. Execute: rhevm-reports-setup
* DB Backup available at  /var/lib/ovirt-engine/backups/ovirt-engine_db_backup_2013_09_11_16_03_43.sql
[[email protected] ~]# yum update rhevm-reports*
Loaded plugins: product-id, rhnplugin, security, subscription-manager, versionlock
This system is not registered to Red Hat Subscription Management. You can use subscription-manager to register.
This system is receiving updates from RHN Classic or RHN Satellite.
Setting up Update Process
No Packages marked for Update
[[email protected] ~]# rhevm-dwh-setup
In order to proceed the installer must stop the ovirt-engine service
Would you like to stop the ovirt-engine service? (yes|no): yes
Stopping ovirt-engine…                              [ DONE ]
Setting DB connectivity…                            [ DONE ]
Upgrade DB…                                         [ DONE ]
Starting ovirt-engine…                              [ DONE ]
Starting oVirt-ETL…                                 [ DONE ]
Successfully installed rhevm-dwh.
The installation log file is available at: /var/log/ovirt-engine/rhevm-dwh-setup-2013_09_11_16_33_08.log
[[email protected] ~]# rhevm-reports-setup
Welcome to ovirt-engine-reports setup utility
In order to proceed the installer must stop the ovirt-engine service
Would you like to stop the ovirt-engine service? (yes|no): yes
Stopping ovirt-engine…                              [ DONE ]
Editing XML files…                                  [ DONE ]
Setting DB connectivity…                            [ DONE ]
Backing up Installation…                            [ DONE ]
Backing up reports DB…                              [ DONE ]
Exporting adhoc reports…                            [ DONE ]
Exporting scheduled reports…                        [ DONE ]
Exporting current users…                            [ DONE ]
Deploying Server…                                   [ DONE ]
Updating Redirect Servlet…                          [ DONE ]
Importing current users…                            [ DONE ]
Importing adhoc reports…                            [ DONE ]
Importing reports…                                  [ DONE ]
Importing current users…                            [ DONE ]
Customizing Server…                                 [ DONE ]
Importing scheduled reports…                        [ DONE ]
Running post setup steps…                           [ DONE ]
Starting ovirt-engine…                              [ DONE ]
Succesfully installed ovirt-engine-reports.

The installation log file is available at: /var/log/ovirt-engine/ovirt-engine-reports-setup-2013_09_11_16_34_02.log

[[email protected] ~]#

 

Upgrade işlemi sonrasında RHEV manager daki zafiyet sonlanmış oluyor.

 

Güvenliğiniz için hızlı aksiyonlar almanızı tavsiye ederim.

 

RHEV ile güvenli ve mutlu günler.

 

RHEV konusundaki gereksinimleri ve alt yapıyı bana sağlayan ENDERSYS A.Ş. ve Ömer Faruk ŞEN’ e teşekkürü borç bilirim.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu

Reklam Engelleyici Algılandı

ÇözümPark Bilişim Portalı gönüllü bir organizasyon olup tek gelir kaynağı reklamlardır. Bu nedenle siteyi gezerken lütfen reklam engelleme eklentinizi kapatın veya Çözümpark web sitesi için izin tanımı yapın. Anlayışınız için teşekkürler.