VENOM: QEMU-Schwachstelle (CVE-2015-3456)
Die Red Hat Product Security wurde auf eine Schwachstelle mit einem 'Zwischenspeicher-Überfluss' hingewiesen, die die Floppy Disk Controller (FDC) Emulation betrifft, die in der QEMU-Komponente der KVM-/QEMU- und Xen-Hypervisoren implementiert ist. Der von Jason Geffner von CrowdStrike, Inc. entdeckten Schwachstelle wurde CVE-2015-3456 zugewiesen und sie wird nun als VENOM bezeichnet. Die Auswirkungen dieser Schwachstelle wurden als Wichtig klassifiziert.
Hintergrundinformationen
QEMU ist ein generischer Open Source Rechner-Emulator und Virtualisierer und ist als Grundlage und Hardware-Emulationsschicht für den Betrieb virtueller Maschinen unter den Xen- und KVM-/QEMU-Hypervisoren Teil einiger Red Hat Produkte.
Auswirkungen
Ein privilegierter Benutzer kann diese Schwachstelle ausnutzen, indem er Gäste zum Absturz bringt oder arbiträren Code mit den Berechtigungen des QEMU-Prozesses des Hosts am Host ausführt, die mit dem Gast übereinstimmen. Beachten Sie, dass selbst wenn der Gast keine explizite virtuelle Floppy Disk konfiguriert und angehängt hat, diese Schwachstelle ausgenutzt werden kann. Das Problem besteht im Floppy Disk Controller, der für jeden x86 und x86-64 Gast unabhängig von der Konfiguration initialisiert wird und weder entfernt noch deaktiviert werden kann.
Es gibr derzeit keine bekannte Ausnutzung, die sich diese Schwachstelle zu Nutzen macht. Die zur Einschränkung der QEMU-Prozess Privilegien des Hosts verwendeten sVirt- und seccomp-Funktionalitäten und Ressourcenzugriff können die Auswirkungen einer Ausnutzung dieses Problems mindern. Eine mögliche, auf Richtlinien basierende Problemumgehung ist es auch, nicht vertrauenswürdigen Bneutzern keine Administrator-Privilegien innerhalb von Gästen zu geben.
Ausführliche Informationen zu den Auswirkungen
Dieser Fehler erfodert nicht das Vorhandensein des FloppyGeräts in /dev/ innerhalb des Gastes, weil der Floppy Disk Controller (FDC) noch im System vorhanden ist. Zugriff auf Benutzerebene auf einen Gast mit ausreichenden Berechtigungen zum Austausch mit FDC I/O Ports (d.h. der root oder ein berechtigter Benutzer auf Linux oder buchstäblich jeder Benutzer als Windows Gast) ist alles, was zur Ausnutzung dieser Schwachstelle erforderlich ist. Um das Risiko dieser Schwachstelle generell zu reduzieren, erteilen Sie nur privilegierten Benutzern Zugang zu vertrauenswürdigen Benutzern.
Alle QEMU enthaltenden Red Hat Produkte sind für diesen Fehler anfällig. Die betroffenen Red Hat Produkte lauten wie folgt:
| Product | Package | Advisory |
|---|---|---|
| Red Hat Enterprise Linux 5 | kvm |
RHSA-2015:1003 |
xen |
RHSA-2015:1002 | |
| Red Hat Enterprise Linux 6 | qemu-kvm |
RHSA-2015-0998 |
| Red Hat Enterprise Linux 7 | qemu-kvm |
RHSA-2015-0999 |
| Red Hat Enteprise Virtualization 3 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015-1001 |
| Red Hat Enteprise Virtualization 3 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015-1000 |
| OpenStack Platform 4 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 5 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 5 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 6 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
| RHEV-H 3 (RHEL 6) | rhev-hypervisor6 |
RHSA-2015:1011 |
| RHEV-H 3 (RHEL 7) | rhev-hypervisor7 |
RHSA-2015:1011 |
Aktualisierungen für RHEL Hypervisor Hosts
Errata für die qemu-kvm-rhev Pakete für RHEL 6.6.z und RHEL 7.1.z sind verfügbar, siehe Tabelle oben. Wir empfehlen die Aktualisierung des qemu-kvm-rhev Pakets auf RHEL Hypervisor Hosts auf die aktuellste Version mittels yum Paketmanager. Siehe Abschnitt Resolution unten für Anleitung.
Aktualisierungen für RHEV Hypervisor (RHEV-H) Hosts
RHEV-H Images wurden mit der korrigierten Version von QEMU neu erstellt und sind nun zum Download verfügbar. Einzelheiten finden Sie unter RHSA-2015:1011.
Gefährdungspotenzial feststellen
Als Red Hat Kunde ist es am einfachsten, das Gefährdungspotenzial und die Beseitigung der Sicherheitslücke mithilfe von Red Hat Access Lab zu prüfen: VENOM: QEMU Vulnerability Detector.
Lösung
Um eine mögliche Ausnutzung der Sicherheitslücke zu verhindern, installieren Sie die aktualisierten QEMU-, KVM- oder Xen-Pakete, die in den Advisories in der Tabelle oben bereitgestellt werden.
Installieren Sie die Aktualisierungen mithilfe des yum-Paketmanagers wie folgt:
yum update
Um nur das QEMU-Paket (oder das für Ihr System relevante Paket) und dessen Abhängigkeiten zu aktualisieren, verwenden Sie zum Beispiel:
yum update qemu-kvm
Nach der Aktualisierung müssen die Gäste (virtuelle Maschinen) abgeschaltet und erneut gestartet werden, damit die Aktualisierung wirksam wird. Eine Migration der Gäste weg vom betroffenen Host und eine Migration zurück nach der Aktualisierung ist ebenfalls möglich. Bitte beachten Sie, dass es nicht ausreicht, die Gäste neu zu starten, da ein neu gestarteter Gast mit der Verwendung derselben (alten, nicht aktualisierten) QEMU-Binärdatei fortfahren würde.
Comments