2015年5月14日木曜日

QEMU, KVM, Xenに存在するVENOM脆弱性(CVE-2015-3456)について

VENOM脆弱性(CVE-2015-3456)についての情報をまとめました。

tl;dr

影響範囲は広いのですが、一部のクラウドベンダー以外は心配する必要はありません。一人で仮想環境を使っている場合には実質的な影響は受けません。なお、AWSは影響を受けないとアナウンスされています。

脆弱性の内容

QEMUに存在するフロッピーディスクコントローラー(FDC)にバッファオーバーフローのバグがあり、そのコードを利用するKVM, Xenが影響されます。なお、このコードはコマンドラインでFDの利用を指定しているかなどに影響を受けず、すべての設定で利用されます。詳しい内容については、Red Hat Security BlogのVENOM, don’t get bitten.という記事が参考になります。

この脆弱性を利用すると、本来アクセスができない他のVM、ホストOSへのアクセスが可能になります。

この脆弱性を利用するには、仮想マシン上で管理者権限を持っている必要があります。つまり実質的に問題となるのは、複数のユーザーに仮想マシンを管理者権限付きで貸している場合です。

この脆弱性は2004年に、FDCのコードがQEMUにマージされたときから存在します。

各ベンダーの対応

公式サイトに各ベンダーのアナウンスへリンクがあります

影響を受けるクラウドベンダーの一覧(一部)

影響を受けないクラウドベンダーの一覧(一部)

調査中のクラウドベンダー一覧(一部)

12 件のコメント:

  1. postingan menarik, sangat bermanfaat. Semoga sukses terus. Terimakasih
    info Gadget lenovo menarik.

    Lenovo K900
    Lenovo A6000
    Lenovo A7000
    Lenovo A369i

    返信削除
    返信
    1. Great Article Cyber Security Projects projects for cse Networking Security Projects JavaScript Training in Chennai JavaScript Training in Chennai The Angular Training covers a wide range of topics including Components, Angular Directives, Angular Services, Pipes, security fundamentals, Routing, and Angular programmability. The new Angular TRaining will lay the foundation you need to specialise in Single Page Application developer. Angular Training

      削除
  2. ソーシャルネットワークでプロジェクトを宣伝するべきだと思います。 このサイト https://viplikes.jp は、十分ないいねやフォロワーを獲得するのに役立ちます

    返信削除