VENOM: QEMU-Schwachstelle (CVE-2015-3456)

Die Red Hat Product Security wurde auf eine Schwachstelle mit einem 'Zwischenspeicher-Überfluss' hingewiesen, die die Floppy Disk Controller (FDC) Emulation betrifft, die in der QEMU-Komponente der KVM-/QEMU- und Xen-Hypervisoren implementiert ist. Der von Jason Geffner von CrowdStrike, Inc. entdeckten Schwachstelle wurde CVE-2015-3456 zugewiesen und sie wird nun als VENOM bezeichnet. Die Auswirkungen dieser Schwachstelle wurden als Wichtig klassifiziert.

Hintergrundinformationen

QEMU ist ein generischer Open Source Rechner-Emulator und Virtualisierer und ist als Grundlage und Hardware-Emulationsschicht für den Betrieb virtueller Maschinen unter den Xen- und KVM-/QEMU-Hypervisoren Teil einiger Red Hat Produkte.

Auswirkungen

Ein privilegierter Benutzer kann diese Schwachstelle ausnutzen, indem er Gäste zum Absturz bringt oder arbiträren Code mit den Berechtigungen des QEMU-Prozesses des Hosts am Host ausführt, die mit dem Gast übereinstimmen. Beachten Sie, dass selbst wenn der Gast keine explizite virtuelle Floppy Disk konfiguriert und angehängt hat, diese Schwachstelle ausgenutzt werden kann. Das Problem besteht im Floppy Disk Controller, der für jeden x86 und x86-64 Gast unabhängig von der Konfiguration initialisiert wird und weder entfernt noch deaktiviert werden kann.

Es gibr derzeit keine bekannte Ausnutzung, die sich diese Schwachstelle zu Nutzen macht. Die zur Einschränkung der QEMU-Prozess Privilegien des Hosts verwendeten sVirt- und seccomp-Funktionalitäten und Ressourcenzugriff können die Auswirkungen einer Ausnutzung dieses Problems mindern. Eine mögliche, auf Richtlinien basierende Problemumgehung ist es auch, nicht vertrauenswürdigen Bneutzern keine Administrator-Privilegien innerhalb von Gästen zu geben.

Ausführliche Informationen zu den Auswirkungen

Dieser Fehler erfodert nicht das Vorhandensein des FloppyGeräts in /dev/ innerhalb des Gastes, weil der Floppy Disk Controller (FDC) noch im System vorhanden ist. Zugriff auf Benutzerebene auf einen Gast mit ausreichenden Berechtigungen zum Austausch mit FDC I/O Ports (d.h. der root oder ein berechtigter Benutzer auf Linux oder buchstäblich jeder Benutzer als Windows Gast) ist alles, was zur Ausnutzung dieser Schwachstelle erforderlich ist. Um das Risiko dieser Schwachstelle generell zu reduzieren, erteilen Sie nur privilegierten Benutzern Zugang zu vertrauenswürdigen Benutzern.

Alle QEMU enthaltenden Red Hat Produkte sind für diesen Fehler anfällig. Die betroffenen Red Hat Produkte lauten wie folgt:

Product Package Advisory
Red Hat Enterprise Linux 5 kvm RHSA-2015:1003
xen RHSA-2015:1002
Red Hat Enterprise Linux 6 qemu-kvm RHSA-2015-0998
Red Hat Enterprise Linux 7 qemu-kvm RHSA-2015-0999
Red Hat Enteprise Virtualization 3 (RHEL 6) qemu-kvm-rhev RHSA-2015-1001
Red Hat Enteprise Virtualization 3 (RHEL 7) qemu-kvm-rhev RHSA-2015-1000
OpenStack Platform 4 (RHEL 6) qemu-kvm-rhev RHSA-2015:1004
OpenStack Platform 5 (RHEL 6) qemu-kvm-rhev RHSA-2015:1004
OpenStack Platform 5 (RHEL 7) qemu-kvm-rhev RHSA-2015:1004
OpenStack Platform 6 (RHEL 7) qemu-kvm-rhev RHSA-2015:1004
RHEV-H 3 (RHEL 6) rhev-hypervisor6 RHSA-2015:1011
RHEV-H 3 (RHEL 7) rhev-hypervisor7 RHSA-2015:1011
Aktualisierungen für RHEL Hypervisor Hosts

Errata für die qemu-kvm-rhev Pakete für RHEL 6.6.z und RHEL 7.1.z sind verfügbar, siehe Tabelle oben. Wir empfehlen die Aktualisierung des qemu-kvm-rhev Pakets auf RHEL Hypervisor Hosts auf die aktuellste Version mittels yum Paketmanager. Siehe Abschnitt Resolution unten für Anleitung.

Aktualisierungen für RHEV Hypervisor (RHEV-H) Hosts

RHEV-H Images wurden mit der korrigierten Version von QEMU neu erstellt und sind nun zum Download verfügbar. Einzelheiten finden Sie unter RHSA-2015:1011.

Gefährdungspotenzial feststellen

Als Red Hat Kunde ist es am einfachsten, das Gefährdungspotenzial und die Beseitigung der Sicherheitslücke mithilfe von Red Hat Access Lab zu prüfen: VENOM: QEMU Vulnerability Detector.

Lösung

Um eine mögliche Ausnutzung der Sicherheitslücke zu verhindern, installieren Sie die aktualisierten QEMU-, KVM- oder Xen-Pakete, die in den Advisories in der Tabelle oben bereitgestellt werden.

Installieren Sie die Aktualisierungen mithilfe des yum-Paketmanagers wie folgt:

yum update

Um nur das QEMU-Paket (oder das für Ihr System relevante Paket) und dessen Abhängigkeiten zu aktualisieren, verwenden Sie zum Beispiel:

yum update qemu-kvm

Nach der Aktualisierung müssen die Gäste (virtuelle Maschinen) abgeschaltet und erneut gestartet werden, damit die Aktualisierung wirksam wird. Eine Migration der Gäste weg vom betroffenen Host und eine Migration zurück nach der Aktualisierung ist ebenfalls möglich. Bitte beachten Sie, dass es nicht ausreicht, die Gäste neu zu starten, da ein neu gestarteter Gast mit der Verwendung derselben (alten, nicht aktualisierten) QEMU-Binärdatei fortfahren würde.

Zusätzliche Informationen

Red Hat Security Blog on CVE-2015-3456

  • Component
  • kvm

Was this helpful?

We appreciate your feedback. Leave a comment if you would like to provide more detail.
It looks like we have some work to do. Leave a comment to let us know how we could improve.