开源虚拟化cockpit-ovirt CVE-2019-10139 信息泄露漏洞

oVirt是一种开源分布式虚拟化解决方案，旨在管理整个企业基础架构。oVirt使用受信任的KVM管理程序，并基于其他几个社区项目构建，包括libvirt，Gluster，PatternFly和Ansible。

Cockpit 是一个 Linux 系统管理工具，具有精美的 Web UI，易于设置，并且在运行时最 小化系统占用空间。oVirt 是其中一个插件，其 webadmin 提供完整的数据中心/集群视图及 其管理。

官方网站：https://www.ovirt.org/

 

1) 漏洞简介 

在通过 cockpit-ovirt 部署 HE 期间，cockpit-ovirt 生成一个 ansible 变量文件 `/var/lib/ovirt-hosted-engine-setup/cockpit/ansibleVarFileXXXXXX.var`，其中包含 明文的 admin 和设备密码。随着部署过程推进，这些文件将被删除。 

2) 影响产品和版本 

RedHat Virtualization 4 oVirt cockpit-ovirt 0.12.8 

3) 修复措施 

目前厂商已发布安全公告及相应补丁，补丁获取链接： https://bugzilla.redhat.com/show_bug.cgi?id=1703678