RedHat Virtualization是美国红帽(RedHat)公司一个企业虚拟化平台，它支持主要的虚拟化工作负载，包括资源密集型和关键应用程序，它们基于Red Hat Enterprise Linux®和KVM构建，并得到Red Hat的完全支持。为云原生和容器化的未来奠定稳定的基础，从而虚拟化资源，流程和应用程序。

11月24日,RedHat发布了安全更新，主要修复了红帽虚拟化引擎(Red Hat Virtualization Engine4.4)中存在的多个重要漏洞。以下是漏洞详情：

漏洞详情

来源：https://access.redhat.com/errata/RHSA-2020:5218

1.CVE-2020-1730 严重程度：中

redhat-virtualization-host软件包提供了Red Hat Virtualization Host。这些软件包包括redhat-release-virtualization-host，ovirt-node和rhev-hypervisor。使用特殊版本的Red Hat Enterprise Linux(RHEL)安装Red Hat Virtualization Hosts（RHVH），仅包含托管虚拟机所需的软件包。RHVH具有一个Cockpit用户界面，用于监视主机的资源并执行管理任务。

该漏洞在处理AES-CTR（或DES）密码时会导致拒绝服务，在RHVH安装过程中选择VPP配置文件时gnutls_set_default_priority()（从而导致Cockpit登录）失败，由于将块存储域检测为本地存储域，因此无法从rhvh 4.4.1升级到4.4.2，同时由于缺少Lvm ThinPool而无法安装RHVH 4.4.3

受影响的产品

适用于RHEL 8 x86_64的Red Hat Virtualization 4

用于RHEL 8 x86_64的Red Hat Virtualization Host 4

解决方案

升级Red Hat Enterprise Linux 8的Red Hat Virtualization 4以下软件包到更新版本：

imgbased 1.2.13

redhat-release-virtualization-host 4.4.3

redhat-virtualization-host 4.4.3

来源：https://access.redhat.com/errata/RHSA-2020:5179

2.CVE-2019-20920 严重程度：低

查找助手无法正确验证模板以允许任意JavaScript执行

3.CVE-2019-20922 严重程度：低

处理特制模板时出现无限循环导致DoS拒绝服务。

4.CVE-2020-8203 严重程度：低

zipObjectDeep函数中的原型污染

受影响产品和版本

Red Hat Virtualization Manager 4.4 x86_64

解决方案

升级Red Hat Enterprise Linux 8的Red Hat Virtualization 4以下软件包到更新版本：

engine-db-query（1.6.2）

org.ovirt.engine-root（4.4.3.8）

ovirt-engine-dwh（4.4.3.1）

ovirt-engine -extension-aaa-ldap（1.4.2）

ovirt-engine-extension-logger-log4j（1.1.1）

ovirt-engine-metrics（1.4.2.1）

ovirt-engine-ui-extensions（1.2.4）

ovirt-log-collector（4.4.4）

ovirt-web-ui（1.6.5）

rhv-log-collector-analyzer（1.0.5）

rhvm-branding-rhv（4.4.6）

查看更多漏洞信息 以及升级请访问官网：

https://access.redhat.com/security/security-updates/#/security-advisories