RedHat virtualization是美国红帽公司一个企业虚拟化平台,它支持主要的虚拟化工作负载,包括资源密集型和关键应用程序,它们基于Red Hat Enterprise Linux和KVM构建,并得到Red Hat的完全支持。为云原生和容器化的未来奠定稳定的基础,从而虚拟化资源,流程和应用程序。
11月24日,RedHat发布了安全更新,主要修复了红帽虚拟化引擎中存在的多个重要漏洞。以下是漏洞详情:
漏洞详情
1.CVE-2020-1730 严重程度:中
Redhat-virtualization-host软件包提供了Red Hat virtualization host。这些软件包包括Redhat-Release-virtualization-host,Ovirt-node和Rhev-hypervisor。使用特殊版本的Red Hat Enterprise Linux(RHEL)安装Red Hat virtualization hosts(RHVH),仅包含托管虚拟机所需的软件包。RHVH具有一个Cockpit用户界面,用于监视主机的资源并执行管理任务。
该漏洞在处理AES-CTR(或DES)密码时会导致拒绝服务,在RHVH安装过程中选择VPP配置文件时gnutls_set_default_priority()(从而导致Cockpit登录)失败,由于将块存储域检测为本地存储域,因此无法从Rhvh 4.4.1升级到4.4.2,同时由于缺少LVM ThinPool而无法安装RHVH 4.4.3
受影响的产品
适用于RHEL 8 x86_64的Red Hat virtualization 4
用于RHEL 8 x86_64的Red Hat virtualization host 4
解决方案
升级Red Hat Enterprise Linux 8的Red Hat virtualization 4以下软件包到更新版本:
imgbased 1.2.13
Redhat-Release-virtualization-host 4.4.3
Redhat-virtualization-host 4.4.3
2.CVE-2019-20920 严重程度:低
查找助手无法正确验证模板以允许任意JavaScript执行
3.CVE-2019-20922 严重程度:低
处理特制模板时出现无限循环导致DoS拒绝服务。
4.CVE-2020-8203 严重程度:低
zipObjectDeep函数中的原型污染
受影响产品和版本
Red Hat virtualization Manager 4.4 x86_64
解决方案
升级Red Hat Enterprise Linux 8的Red Hat virtualization 4以下软件包到更新版本:
engine-db-query(1.6.2)
org.ovirt.engine-root(4.4.3.8)
ovirt-engine-dwh(4.4.3.1)
ovirt-engine-extension-aaa-ldap(1.4.2)
ovirt-engine-extension-logger-log4j(1.1.1)
ovirt-engine-metrics(1.4.2.1)
ovirt-engine-ui-extensions(1.2.4)
ovirt-log-collector(4.4.4)
ovirt-web-ui(1.6.5)
Rhv-log-collector-analyzer(1.0.5)
Rhvm-branding-Rhv(4.4.6)