红帽虚拟化平台是由美国红帽公司推出的一款企业级虚拟化解决方案,旨在支持各种虚拟化工作负载,包括资源密集型和关键应用程序。该平台基于Red Hat Enterprise Linux和KVM构建,并获得红帽公司的全力支持,致力于为云原生和容器化的未来提供稳定的基础,虚拟化资源、流程和应用程序。
在11月24日,红帽发布了安全更新,主要针对红帽虚拟化引擎内的多个重要漏洞进行了修复。以下是漏洞的详细信息:
漏洞详情
1. CVE-2020-1730 严重程度:中
Redhat-virtualization-host软件包提供了红帽虚拟化主机。这些软件包包括Redhat-Release-virtualization-host、Ovirt-node和Rhev-hypervisor。使用特定版本的Red Hat Enterprise Linux(RHEL)安装红帽虚拟化主机(RHVH),该主机仅包含托管虚拟机所需的软件包。RHVH配备了一个Cockpit用户界面,用于监控主机资源和执行管理任务。
此漏洞在处理AES-CTR(或DES)密码时会导致拒绝服务。选择VPP配置文件时,gnutls_set_default_priority()的失败可能会导致Cockpit登录问题,同时由于块存储域被识别为本地存储域,用户无法将RHVH从4.4.1升级到4.4.2,并且由于缺少LVM ThinPool,RHVH 4.4.3的安装也会失败。
受影响的产品
适用于RHEL 8 x86_64的红帽虚拟化 4
用于RHEL 8 x86_64的红帽虚拟化主机 4
解决方案
请将Red Hat Enterprise Linux 8的红帽虚拟化 4以下的软件包升级至更新版本:
imgbased 1.2.13
Redhat-Release-virtualization-host 4.4.3
Redhat-virtualization-host 4.4.3
2. CVE-2019-20920 严重程度:低
查找助手存在无法正确验证模板的问题,可能导致任意JavaScript执行。
3. CVE-2019-20922 严重程度:低
在处理特制模板时可能出现无限循环,从而导致拒绝服务(DoS)。
4. CVE-2020-8203 严重程度:低
zipObjectDeep函数存在原型污染问题。
受影响的产品和版本
红帽虚拟化管理器 4.4 x86_64
解决方案
请将Red Hat Enterprise Linux 8的红帽虚拟化 4以下的软件包升级至更新版本:
engine-db-query(1.6.2)
org.ovirt.engine-root(4.4.3.8)
ovirt-engine-dwh(4.4.3.1)
ovirt-engine-extension-aaa-ldap(1.4.2)
ovirt-engine-extension-logger-log4j(1.1.1)
ovirt-engine-metrics(1.4.2.1)
ovirt-engine-ui-extensions(1.2.4)
ovirt-log-collector(4.4.4)
ovirt-web-ui(1.6.5)
Rhv-log-collector-analyzer(1.0.5)
Rhvm-branding-Rhv(4.4.6)
