2.4. 已解决的问题

在 jsrsasign 软件包中发现安全漏洞，这些软件包容易受到 Observable Discrepancy 的影响

在早期版本的 MTV 中使用的软件包 jsrsasign 之前的软件包 jsrsasign 版本容易受到 RSA PKCS1.5 或 RSA-OAEP 解密过程中的 Observable Discrepancy 的影响。这种差异意味着攻击者可以利用此漏洞来解密密码文本。但是，利用此漏洞要求攻击者能够访问使用同一密钥加密的大量密码文本。这个问题已通过将软件包 jsrasign 升级到 11.0.0 版本在 MTV 2.5.5 中解决。

启用的多个 HTTP/2 的 Web 服务器容易受到 DDoS 攻击(Rapid Reset Attack) 的影响

在处理 HTTP/2 协议中的多个流中发现了一个安全漏洞。在以前的版本中，HTTP/2 协议允许拒绝服务（服务器资源消耗），因为请求可以快速重置多个流。服务器必须设置和停止流，同时没有为每个连接的最大活跃流数达到任何服务器端限制，这会导致因为服务器资源消耗而拒绝服务。

Gin Web Framework 无法正确清理 Context.FileAttachment 功能的文件名参数

在 MTV 使用的 Gin-Gonic Gin Web 框架中发现了一个安全漏洞。Context.FileAttachment 函数的 filename 参数没有正确清理。这个软件包中的缺陷可能会允许远程攻击者绕过由 Context.FileAttachment 函数的 filename 参数不正确的输入验证所造成的安全限制。恶意创建的文件名可能会导致 Content-Disposition 标头以意外的文件名值发送，或者修改 Content-Disposition 标头。

CVE-2023-26144: mtv-console-plugin-container: graphql: Insufficient check in the OverlappingFieldsCanBeMergedRule.ts

在软件包 GraphQL (16.3.0)和 16.8.1 之前发现了一个安全漏洞。此缺陷意味着 MTV 版本在 MTV 2.5.2 之前会受到 Denial Service (DoS)的影响，因为在解析大型查询时，在 OverlappingFieldsCanBeMergedRule.ts 文件中无法检查。此问题可能会导致攻击者降低系统性能。(MTV-712)

CVE-2023-45142: Memory leak in theotelhttp handler of open-telemetry

OpenTelemetry-Go 的 otelhttp 处理程序 中发现了一个安全漏洞。这个安全漏洞意味着 MTV 版本在 MTV 2.5.3 之前，会受到 http.user_agent 和 http.method 造成的内存泄漏的影响，这可以通过发送多个恶意请求来利用服务器的内存，从而影响到可用性的、未经身份验证的攻击者利用服务器的内存。(MTV-795)

CVE-2023-39322: QUIC 连接不会在读取后握手消息时对数据数量设置上限

Golang 中发现了一个安全漏洞。这个安全漏洞意味着 MTV 版本在 MTV 2.5.3 之前会受到 QUIC 连接，在读取后握手消息时不会设置上限，从而允许恶意的 QUIC 连接导致内存增长。在这个版本中，连接会一致拒绝大于 65KiB 的信息。(MTV-708)

CVE-2023-39321：处理 QUIC 连接不完整的 post-handshake 消息可能会导致 panic

Golang 中发现了一个安全漏洞。这个安全漏洞意味着 MTV 版本在 MTV 2.5.3 之前的版本容易受到对 QUIC 连接处理不完整的 post-handshake 信息的影响，这会导致 panic。(MTV-693)

CVE-2023-39319: html/template 软件包中的 Flaw

在 MTV 中使用的 Golang html/template 软件包中发现了一个安全漏洞。这个缺陷意味着 MTV 版本在 MTV 2.5.3 之前存在安全漏洞，因为 html/template 软件包没有正确处理 <script、<!-- , 和 </script 在 <script > 上下文中的 JavaScript 字面中的 </script。此漏洞可能会导致模板解析器错误地认为脚本上下文在早期被终止，从而导致操作被不当转义，这可能会利用它来执行 XSS 攻击。(MTV-693)

CVE-2023-39318: html/template 软件包中的 Flaw

在 MTV 中使用的 Golang html/template 软件包中发现了一个安全漏洞。这个缺陷意味着 MTV 版本在 MTV 2.5.3 之前存在安全漏洞，因为 html/template 软件包没有正确处理 HMTL-like "" 注释令牌，也没有 hashbang \#! 注释令牌。此漏洞可能会导致模板解析器错误地解释 <script &gt; 上下文的内容，从而导致操作被不当转义，这可能会利用它来执行 XSS 攻击。(MTV-693)

从 UI 下载的日志存档文件包括与已删除迁移计划/VM 相关的日志

在早期版本的 MTV 2.6 中，从 UI 下载的日志文件可能包含与早期迁移计划相关的日志。(MTV-783)

在 RHV 中扩展虚拟机磁盘没有反映在 MTV 清单中

在 MTV 2.6 的早期版本中，在 RHV 中扩展的磁盘大小没有被充分监控。这会导致无法从 RHV 提供程序迁移带有扩展磁盘的虚拟机。(MTV-830)

可配置文件系统开销

在早期版本的 MTV 2.6 中，新持久性卷的文件系统开销被硬编码为 10%。某些文件系统类型的开销不足，从而导致从 RHV 和 OSP 迁移到部署 MTV 的集群中的故障。在其他文件系统类型中，硬编码的开销太大，从而导致存储消耗过高。

确保在 create 和 update 供应商表单中显示最新的数据

在 MTV 的早期版本中，创建和更新供应商表单可能会显示过时的数据。

在 OpenStack 中迁移期间创建的快照不会被删除

在 MTV 的早期版本中，Migration Controller 服务不会删除 OpenStack 中源虚拟机迁移过程中创建的快照。

成功迁移后不会删除 RHV 快照

在 MTV 的早期版本中，Migration Controller 服务不会在从 RHV 成功迁移虚拟机时自动删除快照。

当 cutover 与 precopy 冲突时，温迁移会失败

在 MTV 版本中，当执行 precopy 时触发时 cutover 操作会失败。虚拟机在 RHV 中被锁定，因此 ovirt-engine 会拒绝快照创建或磁盘传输操作。

当虚拟机被锁定时，温迁移会失败

在 MTV 的早期版本中，在 RHV 中被锁定的持续操作时触发 warm 迁移会导致迁移失败，因为它无法触发快照创建。

删除迁移的虚拟机不会删除 PVC 和 PV

在 MTV 的早期版本中，当删除迁移的虚拟机时，其持久性卷声明(PVC)和物理卷(PV)不会被删除。

在归档和删除迁移计划后 PVC 删除挂起

在 MTV 版本中，当迁移失败时，当其迁移计划被归档并删除时，其 PVC 和 PV 不会被如预期删除。

具有多个磁盘的虚拟机可以在迁移后从无法启动的磁盘引导

在 MTV 的早期版本中，带有多个迁移的磁盘的虚拟机可能无法在目标 Red Hat OpenShift 集群中引导。

转让网络没有考虑从 vSphere 进行冷迁移

在 MTV 版本 2.4.0-2.5.3 中，从 vSphere 冷迁移到部署 MTV 的本地集群没有考虑指定的传输网络。这个问题已在 MTV 2.5.4 中解决。(MTV-846)

使用来自 vSphere 的多引导客户机操作系统修复虚拟机迁移

在 MTV 2.5.6 中，virt-v2v 参数包括 -root 首先，这可以缓解 pod 失败的多引导虚拟机的问题。这是在 MTV 2.4 中引入的一个回归修复，在其中丢弃了 --root 参数。(MTV-987)

改进了日志记录的填充 pod 中的错误

在早期版本的 MTV 2.6 中，填充器 pod 始终会在失败时重启。这使得从故障 pod 收集日志变得困难。在 MTV 2.5.3 中，填充 pod 的重启数量限制为 3 次。在第三个和最后的时间，填充器 pod 会一直处于故障状态，然后 must-gather 和 forklift-controller 可以轻松收集其日志，以了解这一步失败。(MTV-818)

npm IP 软件包漏洞

在 Node.js Package Manager (npm) IP Package 中发现了一个漏洞，攻击者可以获取敏感信息，并获得对通常无法访问的资源的访问。MTV-941

Golang net/http/internal 软件包中发现了漏洞

在 Golang net/http/internal 软件包的版本中发现了一个安全漏洞，在 MTV 的早期版本中使用。一个恶意的用户可能会允许恶意用户发送 HTTP 请求，并导致接收器从网络读取更多字节，而不是在正文（最多 1GiB）中，从而导致接收器无法读取响应，从而导致服务(DoS)的拒绝。这个问题已在 MTV 2.5.6 中解决。