RedHat Virtualization是美国红帽(RedHat)公司一个企业虚拟化平台,它支持主要的虚拟化工作负载,包括资源密集型和关键应用程序,它们基于Red Hat Enterprise Linux®和KVM构建,并得到Red Hat的完全支持。为云原生和容器化的未来奠定稳定的基础,从而虚拟化资源,流程和应用程序。
11月24日,RedHat发布了安全更新,主要修复了红帽虚拟化引擎(Red Hat Virtualization Engine4.4)中存在的多个重要漏洞。以下是漏洞详情:
漏洞详情
来源:https://access.redhat.com/errata/RHSA-2020:5218
1.CVE-2020-1730 严重程度:中
redhat-virtualization-host软件包提供了Red Hat Virtualization Host。这些软件包包括redhat-release-virtualization-host,ovirt-node和rhev-hypervisor。使用特殊版本的Red Hat Enterprise Linux(RHEL)安装Red Hat Virtualization Hosts(RHVH),仅包含托管虚拟机所需的软件包。RHVH具有一个Cockpit用户界面,用于监视主机的资源并执行管理任务。
该漏洞在处理AES-CTR(或DES)密码时会导致拒绝服务,在RHVH安装过程中选择VPP配置文件时gnutls_set_default_priority()(从而导致Cockpit登录)失败,由于将块存储域检测为本地存储域,因此无法从rhvh 4.4.1升级到4.4.2,同时由于缺少Lvm ThinPool而无法安装RHVH 4.4.3
受影响的产品
适用于RHEL 8 x86_64的Red Hat Virtualization 4
用于RHEL 8 x86_64的Red Hat Virtualization Host 4
解决方案
升级Red Hat Enterprise Linux 8的Red Hat Virtualization 4以下软件包到更新版本:
imgbased 1.2.13
redhat-release-virtualization-host 4.4.3
redhat-virtualization-host 4.4.3
来源:https://access.redhat.com/errata/RHSA-2020:5179
2.CVE-2019-20920 严重程度:低
查找助手无法正确验证模板以允许任意Javascript执行
3.CVE-2019-20922 严重程度:低
处理特制模板时出现无限循环导致DoS拒绝服务。
4.CVE-2020-8203 严重程度:低
zipObjectDeep函数中的原型污染
受影响产品和版本
Red Hat Virtualization Manager 4.4 x86_64
解决方案
升级Red Hat Enterprise Linux 8的Red Hat Virtualization 4以下软件包到更新版本:
engine-db-query(1.6.2)
org.ovirt.engine-root(4.4.3.8)
ovirt-engine-dwh(4.4.3.1)
ovirt-engine -extension-aaa-ldap(1.4.2)
ovirt-engine-extension-logger-log4j(1.1.1)
ovirt-engine-metrics(1.4.2.1)
ovirt-engine-ui-extensions(1.2.4)
ovirt-log-collector(4.4.4)
ovirt-web-ui(1.6.5)
rhv-log-collector-analyzer(1.0.5)
rhvm-branding-rhv(4.4.6)
查看更多漏洞信息 以及升级请访问官网:
https://access.redhat.com/security/security-updates/#/security-advisories
