关键漏洞信息 CVE标识: CVE-2026-24708 发布日期: 2026-02-17 受影响版本: - Nova: =31.0.0 =32.0.0 <32.1.1 漏洞描述: Dan Smith 从 Red Hat 报告了 Nova 中的一个漏洞。通过将恶意的 QCOW 头写入 root 或 ephemeral 磁盘,然后触发 resize,用户可能会说服 Nova 的 flat image 后端在没有格式限制的情况下调用 qemu-img,从而导致不安全的镜像 resize 操作,可能会破坏主机系统上的数据。只有使用 flat image 后端的计算节点(通常配置为 use_cow_images=False)会受到影响。 修复补丁: - https://review.opendev.org/977104 (2024.2/dalmatian) - https://review.opendev.org/977103 (2025.1/epoxy) - https://review.opendev.org/977101 (2025.2/flamingo) - https://review.opendev.org/977100 (2026.1/gazpacho) 引文: - Dan Smith from Red Hat (CVE-2026-24708) 参考链接: - https://launchpad.net/bugs/2137507 - http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-24708 OSA 历史: - 2026-02-17 - Errata 1 - 2026-02-17 - Original Version