VENOM脆弱性(CVE-2015-3456)についての情報をまとめました。
tl;dr
影響範囲は広いのですが、一部のクラウドベンダー以外は心配する必要はありません。一人で仮想環境を使っている場合には実質的な影響は受けません。なお、AWSは影響を受けないとアナウンスされています。
脆弱性の内容
QEMUに存在するフロッピーディスクコントローラー(FDC)にバッファオーバーフローのバグがあり、そのコードを利用するKVM, Xenが影響されます。なお、このコードはコマンドラインでFDの利用を指定しているかなどに影響を受けず、すべての設定で利用されます。詳しい内容については、Red Hat Security BlogのVENOM, don’t get bitten.という記事が参考になります。
この脆弱性を利用すると、本来アクセスができない他のVM、ホストOSへのアクセスが可能になります。
この脆弱性を利用するには、仮想マシン上で管理者権限を持っている必要があります。つまり実質的に問題となるのは、複数のユーザーに仮想マシンを管理者権限付きで貸している場合です。
この脆弱性は2004年に、FDCのコードがQEMUにマージされたときから存在します。
各ベンダーの対応
公式サイトに各ベンダーのアナウンスへリンクがあります。
影響を受けるクラウドベンダーの一覧(一部)
影響を受けないクラウドベンダーの一覧(一部)
調査中のクラウドベンダー一覧(一部)