2015年8月15日土曜日

コミケ88 - Linux Kernel Updates 2015.08 (東2 P-15a)

コミケ88の3日目(2015年8月16日)に「低級はっかーズ」として出展します!

場所は東2, P-15aです。

今回はLinux Kernel Updates 2015.08として、Linux 3.19~4.1の最新情報、nftablesについての簡単な説明を書いた本を300円で頒布します。

表紙はロジさん(ロジカ+フィジカ)に描いていただきました。ありがとうございます。

その他、過去の既刊(2012.12, 2014.12)も持っていきます。在庫限りです。

当日会場でお目にかかりましょう!

2015年5月14日木曜日

QEMU, KVM, Xenに存在するVENOM脆弱性(CVE-2015-3456)について

VENOM脆弱性(CVE-2015-3456)についての情報をまとめました。

tl;dr

影響範囲は広いのですが、一部のクラウドベンダー以外は心配する必要はありません。一人で仮想環境を使っている場合には実質的な影響は受けません。なお、AWSは影響を受けないとアナウンスされています。

脆弱性の内容

QEMUに存在するフロッピーディスクコントローラー(FDC)にバッファオーバーフローのバグがあり、そのコードを利用するKVM, Xenが影響されます。なお、このコードはコマンドラインでFDの利用を指定しているかなどに影響を受けず、すべての設定で利用されます。詳しい内容については、Red Hat Security BlogのVENOM, don’t get bitten.という記事が参考になります。

この脆弱性を利用すると、本来アクセスができない他のVM、ホストOSへのアクセスが可能になります。

この脆弱性を利用するには、仮想マシン上で管理者権限を持っている必要があります。つまり実質的に問題となるのは、複数のユーザーに仮想マシンを管理者権限付きで貸している場合です。

この脆弱性は2004年に、FDCのコードがQEMUにマージされたときから存在します。

各ベンダーの対応

公式サイトに各ベンダーのアナウンスへリンクがあります

影響を受けるクラウドベンダーの一覧(一部)

影響を受けないクラウドベンダーの一覧(一部)

調査中のクラウドベンダー一覧(一部)