发布日期:2010-06-22
更新日期:2010-06-25
受影响系统:
RedHat Enterprise Virtualization Manager 2.2
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 41045
CVE ID: CVE-2010-2224
Red Hat Enterprise Virtualization Manager是用于集中管理运行在Red Hat Enterprise Linux和Microsoft Windows上虚拟服务器集的虚拟工具。
Red Hat Enterprise Virtualization Manager在合并快照后没有正确地删除已删除卷标的postzero参数,导致没有如预期的安全删除卷标。如果guest用户所处的新建裸虚拟机是在VM已被删除的数据域中创建的,该用户就可以利用这个漏洞从已删除的VM中读取有限的数据,导致泄漏敏感信息。
<*来源:Mark J. Cox
链接:https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=606774
https://www.redhat.com/support/errata/RHSA-2010-0478.html
*>
建议:
--------------------------------------------------------------------------------
厂商补丁:
RedHat
------
RedHat已经为此发布了一个安全公告(RHSA-2010:0478-01)以及相应补丁:
RHSA-2010:0478-01:Moderate: Red Hat Enterprise Virtualization Manager security update
链接:https://www.redhat.com/support/errata/RHSA-2010-0478.html