OSSN/OSSN-0079

旧版本的libvirt/qemu中包含的Ceph凭据泄露到日志中

旧版本的libvirt在qemu命令行中包含网络存储认证信息。如果libvirt引发异常并记录其使用的qemu命令行，例如启动域时出错，则此认证信息将出现在日志中。

QEMU版本2.5及更早版本以及libvirt版本2.1或更早版本。

此问题已在所有QEMU 2.6及更高版本以及libvirt 2.2及更高版本中得到解决。

不需要Nova或Ceph的补丁或特定版本，该问题已在QEMU和libvirt中完全解决。

如果部署正在使用ceph，libvirt启动域时出错的日志会记录cephx密钥和监视器地址在qemu命令行中。

本地攻击者随后可以使用此漏洞访问cephx密钥并在集群内执行某些特权操作。

此问题已经存在一个CVE。

该问题已在上游解决。运行qemu 2.6或更高版本以及libvirt 2.2或更高版本的用户不受影响。

不需要在Nova或Ceph中进行任何更改即可解决此问题。

作者：Luke Hinds, Red Hat