云安全日报201125:红帽虚拟化平台发现拒绝服务和代码任意执行漏洞,需要尽快升级
RedHat Virtualization是美国红帽(RedHat)公司一个企业虚拟化平台,它支持主要的虚拟化工作负载,包括资源密集型和关键应用程序,它们基于Red Hat Enterprise Linux®和KVM构建,并得到Red Hat的完全支持。为云原生和容器化的未来奠定稳定的基础,从而虚拟化资源,流程和应用程序。 11月24日,RedHat发布了安全更新,主要修复了红帽虚拟化引擎(Red Hat Virtualization Engine4.4)中存在的多个重要漏洞。以下是漏洞详情: 漏洞详情 来源:https://access.redhat.com/errata/RHSA-2020:5218 1.CVE-2020-1730 严重程度:中 redhat-virtualization-host软件包提供了Red Hat Virtualization Host。这些软件包包括redhat-release-virtualization-host,ovirt-node和rhev-hypervisor。使用特殊版本的Red Hat Enterprise Linux(RHEL)安装Red Hat Virtualization Hosts(RHVH),仅包含托管虚拟机所需的软件包。RHVH具有一个Cockpit用户界面,用于监视主机的资源并执行管理任务。 该漏洞在处理AES-CTR(或DES)密码时会导致拒绝服务,在RHVH安装过程中选择VPP配置文件时gnutls_set_default_priority()(从而导致Cockpit登录)失败,由于将块存储域检测为本地存储域,因此无法从rhvh 4.4.1升级到4.4.2,同时由于缺少Lvm ThinPool而无法安装RHVH 4.4.3 受影响的产品 适用于RHEL 8 x86_64的Red Hat Virtualization 4 用于RHEL 8 x86_64的Red Hat Virtualization Host 4 解决方案 升级Red Hat Enterprise Linux 8的Red Hat Virtualization 4以下软件包到更新版本: imgbased 1.2.13 redhat-release-virtualization-host 4.4.3 redhat-virtualization-host 4.4.3 来源:https://access.redhat.com/errata/RHSA-2020:5179 2.CVE-2019-20920 严重程度:低 查找助手无法正确验证模板以允许任意JavaScript执行 3.CVE-2019-20922 严重程度:低 处理特制模板时出现无限循环导致DoS拒绝服务。 4.CVE-2020-8203 严重程度:低 zipObjectDeep函数中的原型污染 受影响产品和版本 Red Hat Virtualization Manager 4.4 x86_64 解决方案 升级Red Hat Enterprise Linux 8的Red Hat Virtualization 4以下软件包到更新版本: engine-db-query(1.6.2) org.ovirt.engine-root(4.4.3.8) ovirt-engine-dwh(4.4.3.1) ovirt-engine -extension-aaa-ldap(1.4.2) ovirt-engine-extension-logger-log4j(1.1.1) ovirt-engine-metrics(1.4.2.1) ovirt-engine-ui-extensions(1.2.4) ovirt-log-collector(4.4.4) ovirt-web-ui(1.6.5) rhv-log-collector-analyzer(1.0.5) rhvm-branding-rhv(4.4.6) 查看更多漏洞信息 以及升级请访问官网: https://access.redhat.com/security/security-updates/#/security-advisories (编辑:应用网_阳江站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |