Red Hat Enterprise Virtualization Manager Postzero参数信息泄露漏洞

受影响系统：

RedHat Enterprise Virtualization Manager 2.2

描述：

BUGTRAQ ID: 41045
CVE ID: CVE-2010-2224

Red Hat Enterprise Virtualization Manager是用于集中管理运行在Red Hat Enterprise Linux和Microsoft Windows上虚拟服务器集的虚拟工具。

Red Hat Enterprise Virtualization Manager在合并快照后没有正确地删除已删除卷标的postzero参数，导致没有如预期的安全删除卷标。如果guest用户所处的新建裸虚拟机是在VM已被删除的数据域中创建的，该用户就可以利用这个漏洞从已删除的VM中读取有限的数据，导致泄漏敏感信息。

<*来源：Mark J. Cox

  链接：https://bugzilla.redhat.com/show_bug.cgi?format=multiple&id=606774
        https://www.redhat.com/support/errata/RHSA-2010-0478.html
*>

建议：

厂商补丁：

RedHat
——
RedHat已经为此发布了一个安全公告（RHSA-2010:0478-01）以及相应补丁:
RHSA-2010:0478-01：Moderate: Red Hat Enterprise Virtualization Manager security update
链接：https://www.redhat.com/support/errata/RHSA-2010-0478.html

← Adobe Flash Player AVM Bytecode验证符多个整数溢出漏洞

Red Hat Enterprise Virtualization Hypervisor VDSM信息泄露漏洞 →

ZeroBox Vulnerability Database

坚持！我们将做的更好！

Red Hat Enterprise Virtualization Manager Postzero参数信息泄露漏洞

0 条评论。

发表评论