2015年5月14日木曜日

QEMU, KVM, Xenに存在するVENOM脆弱性(CVE-2015-3456)について

VENOM脆弱性(CVE-2015-3456)についての情報をまとめました。

tl;dr

影響範囲は広いのですが、一部のクラウドベンダー以外は心配する必要はありません。一人で仮想環境を使っている場合には実質的な影響は受けません。なお、AWSは影響を受けないとアナウンスされています。

脆弱性の内容

QEMUに存在するフロッピーディスクコントローラー(FDC)にバッファオーバーフローのバグがあり、そのコードを利用するKVM, Xenが影響されます。なお、このコードはコマンドラインでFDの利用を指定しているかなどに影響を受けず、すべての設定で利用されます。詳しい内容については、Red Hat Security BlogのVENOM, don’t get bitten.という記事が参考になります。

この脆弱性を利用すると、本来アクセスができない他のVM、ホストOSへのアクセスが可能になります。

この脆弱性を利用するには、仮想マシン上で管理者権限を持っている必要があります。つまり実質的に問題となるのは、複数のユーザーに仮想マシンを管理者権限付きで貸している場合です。

この脆弱性は2004年に、FDCのコードがQEMUにマージされたときから存在します。

各ベンダーの対応

公式サイトに各ベンダーのアナウンスへリンクがあります

影響を受けるクラウドベンダーの一覧(一部)

影響を受けないクラウドベンダーの一覧(一部)

調査中のクラウドベンダー一覧(一部)