RHEL 6：rhev-hypervisor6 (RHSA-2013:1460)

high Nessus 插件 ID 78977

语言：

简介

远程 Red Hat 主机缺少安全更新。

描述

更新后的 rhev-hypervisor6 程序包修复了一个安全问题和多个缺陷，现在可用。

Red Hat 安全响应团队已将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

rhev-hypervisor6 程序包提供 Red Hat Enterprise Virtualization 管理程序 ISO 磁盘镜像。Red Hat Enterprise Virtualization 管理程序是专用的基于内核的虚拟机 (KVM) 管理程序。它包括运行和管理虚拟机所需的全部内容：Red Hat Enterprise Linux 操作环境的子集和 Red Hat Enterprise Virtualization 代理。

注意：Red Hat Enterprise Virtualization 管理程序仅适用于含虚拟化扩展的 Intel 64 和 AMD64 架构。

升级说明：如果通过 3.2 Manager 管理门户升级 Red Hat Enterprise Virtualization 管理程序，主机的状态可能显示为“安装失败”。如果发生此情况，请将主机转换为维护模式，然后将其重新激活以使其返回“运行”状态

在 spice-server 库中的 reds_handle_ticket() 函数处理客户端所提供票证数据解密的方式中发现基于堆栈的缓冲区溢出缺陷。能够启动客户机的 SPICE 连接的远程攻击者可利用此缺陷使客户机崩溃。(CVE-2013-4282)

此问题由 Red Hat 的 Tomas Jamrisko 发现。

此更新后的程序包提供更新后的组件，其中包括针对各种安全问题的补丁。但是，这些问题对 Red Hat Enterprise Virtualization 管理程序本身没有安全影响。可使用此更新中包含的安全补丁处理以下 CVE 编号：

CVE-2013-4162 和 CVE-2013-4299（内核问题）

CVE-2013-4296 和 CVE-2013-4311（libvirt 问题）

CVE-2013-4288（polkit 问题）

此更新还包含以下公告中的补丁：

* vdsm：https://rhn.redhat.com/errata/RHBA-2013-1462.html * ovirt-node：https://rhn.redhat.com/errata/RHBA-2013-1461.html

建议 Red Hat Enterprise Virtualization 管理程序的用户升级此更新后的程序包，其中修正了这些问题。