RHEL 6：rhev-hypervisor6 (RHSA-2014:1168)

high Nessus 插件 ID 79048

语言：

简介

远程 Red Hat 主机缺少安全更新。

描述

更新后的 rhev-hypervisor6 程序包修复了三个安全问题和一个缺陷，现在可用。

Red Hat 产品安全团队将此更新评级为具有重要安全影响。可从“参考”部分中的 CVE 链接获取针对每个漏洞的通用漏洞评分系统 (CVSS) 基本分数，其给出了详细的严重性等级。

rhev-hypervisor6 程序包提供 Red Hat Enterprise Virtualization 管理程序 ISO 磁盘镜像。Red Hat Enterprise Virtualization 管理程序是专用的基于内核的虚拟机 (KVM) 管理程序。它包括运行和管理虚拟机所需的全部内容：Red Hat Enterprise Linux 操作环境的子集和 Red Hat Enterprise Virtualization 代理。

注意：Red Hat Enterprise Virtualization 管理程序仅适用于含虚拟化扩展的 Intel 64 和 AMD64 架构。

处理通过 VxLAN 接口传入的某些无效数据包时，在 Linux 内核的网络实现处理日志记录的方式中发现空指针取消引用缺陷。远程攻击者可利用此缺陷，通过向此类接口发送特别构建的数据包来造成系统崩溃。(CVE-2014-3535)

已发现 QCOW 版本 1 磁盘映像的 QEMU 区块驱动程序中存在两个整数溢出缺陷。能够更改客户机加载的 QEMU 磁盘映像文件的用户可以利用这些缺陷损坏主机上的 QEMU 进程内存，从而可能导致以 QEMU 进程的权限在主机上执行任意代码。（CVE-2014-0222、CVE-2014-0223）

Red Hat 在此感谢 NSA 报告 CVE-2014-0222 和 CVE-2014-0223。

此更新还修复以下缺陷：

* 以前，更新版本的 Qlogic 固件在 Red Hat Enterprise Virtualization Hypervisor 6.5 映像中不受支持，用户使用较新版本的 Qlogic 固件时会返回错误消息。此更新包含 Red Hat Enterprise Virtualization Hypervisor 6.5 映像中最新的 Qlogic 固件程序包，因此不会返回固件错误。(BZ#1135780)

此更新后的程序包还提供更新后的组件，其中包括针对各种安全问题的补丁。但是，这些问题对 Red Hat Enterprise Virtualization 管理程序本身没有安全影响。可使用此更新中包含的安全补丁处理以下 CVE 编号：

CVE-2012-6647、CVE-2013-7339、CVE-2014-2672、CVE-2014-2678、CVE-2014-2706、CVE-2014-2851、CVE-2014-3144、CVE-2014-3145、CVE-2014-0205、CVE-2014-3917 和 CVE-2014-4667（内核问题）

建议 Red Hat Enterprise Virtualization 管理程序的用户升级此更新后的程序包。