2018-0429: Ovirt-engine: Eine Schwachstelle ermöglicht das Ausspähen von Informationen

Historie:

Version 1 (2018-03-06 17:58)

Neues Advisory

Betroffene Software

Virtualisierung

Betroffene Plattformen

Linux

Beschreibung:

Ein entfernter, einfach authentisierter Angreifer mit erweiterten Privilegien in einer virtuellen Maschine kann Informationen aus wieder verwendeten virtuellen Festplatten ausspähen, die eigentlich beim vorangegangenen Entfernungsvorgang durch einen anderen Benutzer komplett gelöscht werden sollten. Die Schwachstelle liegt in zwei Konfigurationsoptionen für virtuelle Festplatten begründet, die durch eine Änderung am Kernel nicht mehr kompatibel sind.

Red Hat hat Ende Januar ein Bug Fix Advisory für 'org.ovirt.engine-root' für Red Hat Enterprise Virtualization Engine 4.1 und Red Hat Virtualization Manager 4.1 bereitgestellt, um unter anderem diese Schwachstelle zu beheben. Das Problem wurde erst kürzlich als sicherheitsrelevant eingestuft. Die Eigenschaften 'Wipe After Delete' und 'Enable Discard' für virtuelle Festplatten können durch das Update nicht mehr gleichzeitig gesetzt werden.

Schwachstellen:

CVE-2018-1062

Schwachstelle in ovirt-engine ermöglicht das Ausspähen von Informationen

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.