RHEL 6：rhev-hypervisor6 (RHSA-2013:1181)

medium Nessus 插件 ID 78969

语言：

简介

远程 Red Hat 主机缺少安全更新。

描述

更新后的 rhev-hypervisor6 程序包修复了三个安全问题和各种缺陷，现在可用。

Red Hat 安全响应团队已将此更新评级为具有中等安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

rhev-hypervisor6 程序包提供 Red Hat Enterprise Virtualization 管理程序 ISO 磁盘镜像。Red Hat Enterprise Virtualization 管理程序是专用的基于内核的虚拟机 (KVM) 管理程序。它包括运行和管理虚拟机所需的全部内容：Red Hat Enterprise Linux 操作环境的子集和 Red Hat Enterprise Virtualization 代理。

注意：Red Hat Enterprise Virtualization 管理程序仅适用于含虚拟化扩展的 Intel 64 和 AMD64 架构。

升级说明：如果通过 3.2 Manager 管理门户升级 Red Hat Enterprise Virtualization 管理程序，主机的状态可能显示为“安装失败”。如果发生此情况，请将主机转换为维护模式，然后将其重新激活以使其返回“运行”状态。

已发现当解密 TLS/SSL 时，NSS 泄漏时限信息，并且当使用 CBC 模式加密套件时，DTLS 协议对记录进行加密。远程攻击者可能利用此缺陷，通过将 TLS/SSL 或 DTLS 服务器用作 padding oracle，从加密的数据包检索明文。(CVE-2013-1620)

已发现通过 RHSA-2013:0907 发布的 CVE-2013-0167 补丁不完整。特权客户机用户可能利用此缺陷使管理服务器无法使用运行客户机的主机。(CVE-2013-4236)

在 NSS 解码某些证书的方式中发现越界内存读取缺陷。如果使用 NSS 的应用程序解码畸形证书，则可能导致该应用程序崩溃。(CVE-2013-0791)

Red Hat 在此感谢 Mozilla 项目报告 CVE-2013-0791。上游感谢 Ambroz Bizjak 作为 CVE-2013-0791 的原始报告者。CVE-2013-4236 问题的发现者为 Red Hat 的 David Gibson。

此更新后的程序包提供更新后的组件，其中包括针对各种安全问题的补丁。但是，这些问题对 Red Hat Enterprise Virtualization 管理程序本身没有安全影响。可使用此更新中包含的安全补丁处理以下 CVE 编号：

CVE-2013-4854（bind 问题）

CVE-2012-6544、CVE-2013-2146、CVE-2013-2206、CVE-2013-2224、CVE-2013-2232 和 CVE-2013-2237（内核问题）

此更新还包含以下勘误表中的补丁：

* vdsm：RHSA-2013:1155 和 RHBA-2013:1158

建议 Red Hat Enterprise Virtualization 管理程序的用户升级此更新后的程序包，其中修正了这些问题。