奇安信代码安全实验室帮助 RedHat 修复两个 oVirt 漏洞,获官方致谢

本文主要是介绍奇安信代码安全实验室帮助 RedHat 修复两个 oVirt 漏洞,获官方致谢,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

聚焦源代码安全,网罗国内外最新资讯!

奇安信代码安全实验室研究员帮助 Red Hat在oVirt-engine 软件中发现了两个漏洞(CVE-2020-14333和CVE-2020-10775),并第一时间报告 Red Hat,协助其修复漏洞。

 

oVirt 是一款免费开源的分布式虚拟化解决方案,旨在管理整个企业的基础设施。oVirt 使用受信任的 KVM 管理程序,构建于多种其它社区项目,包括 libvirt、Gluster、PatternFly 和 Ansible。Red Hat是oVirt 社区的企业用户,负责建立 oVirt 代码库,并在商业虚拟化产品Red Hat Virtualization的上游版本中使用了开源组件oVirt-engine。

 

近日,Red Hat发布了补丁更新公告以及致谢公告,致谢奇安信代码安全实验室研究人员。

图:Red Hat 官方致谢

漏洞概述

CVE-2020-14333 – oVirt XSS 漏洞

oVirt-engine 4.4.2及更早版本(Red Hat Virtualization Engine 4.4 之前版本)的 Web 接口未完全过滤用户可控参数,从而导致反射型跨站点脚本攻击。攻击者可利用该缺陷发动钓鱼攻击,窃取用户 cookie或其它机密信息,或在应用程序的上下文中假冒用户。

CVE-2020-10775 — oVirt URL 重定向漏洞

oVirt-engine 版本4.4.1及更早版本(Red Hat Virtualization Engine 4.4 之前版本)中存在一个开放重定向漏洞,可导致远程攻击者将用户重定向至任意 Web 站点并尝试发动钓鱼攻击。目标在浏览器中打开恶意 URL 时,无法看到该 URL 的关键部分。该漏洞带来的最大威胁表现在机密性方面。

oVirt 已发布 oVirt-engine 正式版本4.4.2,修复了CVE-2020-10775;并将在版本 4.4.3 中修复CVE-2020-14333。同时,Red Hat 亦发布 Red Hat Virtualization Engine 4.4,已修复上述两个问题,用户应尽快予以更新处理。

参考链接

https://access.redhat.com/security/cve/CVE-2020-14333

https://access.redhat.com/security/cve/CVE-2020-10775

https://gerrit.ovirt.org/#/c/111277/

https://github.com/oVirt/ovirt-engine/commit/362a2a8f8eca542b48a1bba7f9c827fbc44bc955

https://bugzilla.redhat.com/show_bug.cgi?id=1858184

https://bugzilla.redhat.com/show_bug.cgi?id=1866688

关于奇安信代码卫士

“奇安信代码卫士” 是奇安信集团旗下专注于软件源代码安全的产品线,代码卫士系列产品可支持 Windows、Linux、Android、Apple iOS、IBM AIX 等平台上的源代码安全分析,支持的编程语言涵盖 C、C++、C#、Objective-C、Java、JSP、JavaScript、PHP、Python、Go、区块链智能合约 Solidity 等。目前代码卫士已应用于上百家大型机构,帮助用户构建自身的代码安全保障体系,消减软件代码安全隐患。

关于奇安信代码安全实验室

奇安信代码安全实验室是奇安信代码卫士的研究团队,专门从事源代码、二进制漏洞挖掘和分析,主要研究方向包括:Windows / Linux / MacOS 操作系统、应用软件、开源软件、网络设备、IoT设备等。截至目前,奇安信代码安全实验室已经帮助微软、谷歌、苹果、Cisco、Juiper、VMware、Oracle、Linux内核组织、Adobe、阿里云、华为、施耐德、D-Link、ThinkPHP、以太坊、各种开源组织等修复了100多个安全漏洞,并获得官方致谢。

推荐阅读

奇安信代码安全实验室帮助Red Hat修复多个QEMU高危漏洞,获官方致谢

奇安信代码安全实验室帮助微软修复多个高危漏洞,获官方致谢

奇安信代码卫士帮助微软和 Oracle 修复多个高危漏洞,获官方致谢

奇安信代码安全实验室五人入选“2020微软 MSRC 最具价值安全研究者”榜单

题图:Pixabay License

转载请注明“转自奇安信代码卫士 www.codesafe.cn”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

   觉得不错,就点个 “在看” 吧~

这篇关于奇安信代码安全实验室帮助 RedHat 修复两个 oVirt 漏洞,获官方致谢的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/597263

相关文章

活用c4d官方开发文档查询代码

当你问AI助手比如豆包,如何用python禁止掉xpresso标签时候,它会提示到 这时候要用到两个东西。https://developers.maxon.net/论坛搜索和开发文档 比如这里我就在官方找到正确的id描述 然后我就把参数标签换过来

poj 1258 Agri-Net(最小生成树模板代码)

感觉用这题来当模板更适合。 题意就是给你邻接矩阵求最小生成树啦。~ prim代码:效率很高。172k...0ms。 #include<stdio.h>#include<algorithm>using namespace std;const int MaxN = 101;const int INF = 0x3f3f3f3f;int g[MaxN][MaxN];int n

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

安全管理体系化的智慧油站开源了。

AI视频监控平台简介 AI视频监控平台是一款功能强大且简单易用的实时算法视频监控系统。它的愿景是最底层打通各大芯片厂商相互间的壁垒,省去繁琐重复的适配流程,实现芯片、算法、应用的全流程组合,从而大大减少企业级应用约95%的开发成本。用户只需在界面上进行简单的操作,就可以实现全视频的接入及布控。摄像头管理模块用于多种终端设备、智能设备的接入及管理。平台支持包括摄像头等终端感知设备接入,为整个平台提

计算机毕业设计 大学志愿填报系统 Java+SpringBoot+Vue 前后端分离 文档报告 代码讲解 安装调试

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点赞 👍 收藏 ⭐评论 📝 🍅 文末获取源码联系 👇🏻 精彩专栏推荐订阅 👇🏻 不然下次找不到哟~Java毕业设计项目~热门选题推荐《1000套》 目录 1.技术选型 2.开发工具 3.功能

2024网安周今日开幕,亚信安全亮相30城

2024年国家网络安全宣传周今天在广州拉开帷幕。今年网安周继续以“网络安全为人民,网络安全靠人民”为主题。2024年国家网络安全宣传周涵盖了1场开幕式、1场高峰论坛、5个重要活动、15场分论坛/座谈会/闭门会、6个主题日活动和网络安全“六进”活动。亚信安全出席2024年国家网络安全宣传周开幕式和主论坛,并将通过线下宣讲、创意科普、成果展示等多种形式,让广大民众看得懂、记得住安全知识,同时还

代码随想录冲冲冲 Day39 动态规划Part7

198. 打家劫舍 dp数组的意义是在第i位的时候偷的最大钱数是多少 如果nums的size为0 总价值当然就是0 如果nums的size为1 总价值是nums[0] 遍历顺序就是从小到大遍历 之后是递推公式 对于dp[i]的最大价值来说有两种可能 1.偷第i个 那么最大价值就是dp[i-2]+nums[i] 2.不偷第i个 那么价值就是dp[i-1] 之后取这两个的最大值就是d

pip-tools:打造可重复、可控的 Python 开发环境,解决依赖关系,让代码更稳定

在 Python 开发中,管理依赖关系是一项繁琐且容易出错的任务。手动更新依赖版本、处理冲突、确保一致性等等,都可能让开发者感到头疼。而 pip-tools 为开发者提供了一套稳定可靠的解决方案。 什么是 pip-tools? pip-tools 是一组命令行工具,旨在简化 Python 依赖关系的管理,确保项目环境的稳定性和可重复性。它主要包含两个核心工具:pip-compile 和 pip

基于51单片机的自动转向修复系统的设计与实现

文章目录 前言资料获取设计介绍功能介绍设计清单具体实现截图参考文献设计获取 前言 💗博主介绍:✌全网粉丝10W+,CSDN特邀作者、博客专家、CSDN新星计划导师,一名热衷于单片机技术探索与分享的博主、专注于 精通51/STM32/MSP430/AVR等单片机设计 主要对象是咱们电子相关专业的大学生,希望您们都共创辉煌!✌💗 👇🏻 精彩专栏 推荐订阅👇🏻 单片机

D4代码AC集

贪心问题解决的步骤: (局部贪心能导致全局贪心)    1.确定贪心策略    2.验证贪心策略是否正确 排队接水 #include<bits/stdc++.h>using namespace std;int main(){int w,n,a[32000];cin>>w>>n;for(int i=1;i<=n;i++){cin>>a[i];}sort(a+1,a+n+1);int i=1