互联网技术 / 互联网资讯 · 2023年11月5日 0

红帽虚拟化平台发现漏洞,需立即升级

RedHat virtualization是美国红帽公司一个企业虚拟化平台,它支持主要的虚拟化工作负载,包括资源密集型和关键应用程序,它们基于Red Hat Enterprise Linux和KVM构建,并得到Red Hat的完全支持。为云原生和容器化的未来奠定稳定的基础,从而虚拟化资源,流程和应用程序。

11月24日,RedHat发布了安全更新,主要修复了红帽虚拟化引擎中存在的多个重要漏洞。以下是漏洞详情:

漏洞详情

1.CVE-2020-1730 严重程度:中

Redhat-virtualization-host软件包提供了Red Hat virtualization host。这些软件包包括Redhat-Release-virtualization-host,Ovirt-node和Rhev-hypervisor。使用特殊版本的Red Hat Enterprise Linux(RHEL)安装Red Hat virtualization hosts(RHVH),仅包含托管虚拟机所需的软件包。RHVH具有一个Cockpit用户界面,用于监视主机的资源并执行管理任务。

该漏洞在处理AES-CTR(或DES)密码时会导致拒绝服务,在RHVH安装过程中选择VPP配置文件时gnutls_set_default_priority()(从而导致Cockpit登录)失败,由于将块存储域检测为本地存储域,因此无法从Rhvh 4.4.1升级到4.4.2,同时由于缺少LVM ThinPool而无法安装RHVH 4.4.3

受影响的产品

适用于RHEL 8 x86_64的Red Hat virtualization 4

用于RHEL 8 x86_64的Red Hat virtualization host 4

解决方案

升级Red Hat Enterprise Linux 8的Red Hat virtualization 4以下软件包到更新版本:

imgbased 1.2.13

Redhat-Release-virtualization-host 4.4.3

Redhat-virtualization-host 4.4.3

2.CVE-2019-20920 严重程度:低

查找助手无法正确验证模板以允许任意JavaScript执行

3.CVE-2019-20922 严重程度:低

处理特制模板时出现无限循环导致DoS拒绝服务。

4.CVE-2020-8203 严重程度:低

zipObjectDeep函数中的原型污染

受影响产品和版本

Red Hat virtualization Manager 4.4 x86_64

解决方案

升级Red Hat Enterprise Linux 8的Red Hat virtualization 4以下软件包到更新版本:

engine-db-query(1.6.2)

org.ovirt.engine-root(4.4.3.8)

ovirt-engine-dwh(4.4.3.1)

ovirt-engine-extension-aaa-ldap(1.4.2)

ovirt-engine-extension-logger-log4j(1.1.1)

ovirt-engine-metrics(1.4.2.1)

ovirt-engine-ui-extensions(1.2.4)

ovirt-log-collector(4.4.4)

ovirt-web-ui(1.6.5)

Rhv-log-collector-analyzer(1.0.5)

Rhvm-branding-Rhv(4.4.6)