Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

VENOM: Vulnerabilidad QEMU (CVE-2015-3456)

Red Hat Product Security ha tenido conocimiento de una vulnerabilidad de 'desbordamiento de búfer' que afecta la emulación del Controlador de disco blando (FDC por sus siglas en inglés ), implementada en el componente QEMU de los hipervisores KVM/QEMU y Xen. Esta vulnerabilidad, identificada como CVE-2015-3456 y conocida ahora como VENOM, fue descubierta por Jason Geffner de CrowdStrike, Inc. Dicha vulnerabilidad fue valorada de impacto Importante.

Información de fondo

QEMU es un emulador genérico de máquinas de código abierto incorporado en algunos productos de Red Hat como una capa de emulación de hardware para ejecutar máquinas virtuales en hipervisores Xen y KVM/QEMU.

Impacto

Un huésped con privilegios, podría utilizar este error para dañar el huésped o, en potencia, ejecutar código arbitrario en el host con los privilegios del proceso QEMU de host correspondiente al huésped. Observe que esta situación es vulnerable, incluso cuando el huésped no tiene explícitamente un disco blando virtual configurado y conectado. El problema existe en el Controlador de discos blandos, el cual se inicializa para cada huésped x86 y x86_64 , sin considerar la configuración y no se puede retirar o inhabilitar.

En el momento, no hay ninguna herramienta maliciosa conocida, que haya hecho uso de esta vulnerabilidad. Las funcionalidades Svirt y seccomp utilizadas para restringir los privilegios del proceso QEMU y el acceso a recursos podrían mitigar el impacto del aprovechamiento de este problema. Una posible solución basada en políticas es evitar otorgar privilegios administrativos a usuarios no confiables dentro de los huéspedes.

Información de impacto detallada

Este error no requiere el dispositivo blando en /dev/ dentro del huésped porque el Controlador de disco blando (FDC) aún está presente en el sistema. Todo lo que se requiere para aprovechar este error, es tener acceso a nivel de usuario con permisos suficientes para comunicarse con los puertos de E/S FDC (ej, el usuario root, un usuario privilegiado en Linux o, en potencia, cualquier usuario en un huésped de Windows). Para mitigar el riesgo de esta vulnerabilidad, otórguele únicamente acceso privilegiado a huéspedes confiables.

Todos los productos Red Hat que incluyen QEMU son vulnerables a este error. Los productos de Red Hat afectados son los siguientes:

Producto Paquete Recomendación
Red Hat Enterprise Linux 5 kvm RHSA-2015:1003
xen RHSA-2015:1002
Red Hat Enterprise Linux 6 qemu-kvm RHSA-2015-0998
Red Hat Enterprise Linux 7 qemu-kvm RHSA-2015-0999
Red Hat Enteprise Virtualization 3 (RHEL 6) qemu-kvm-rhev RHSA-2015-1001
Red Hat Enteprise Virtualization 3 (RHEL 7) qemu-kvm-rhev RHSA-2015-1000
OpenStack Platform 4 (RHEL 6) qemu-kvm-rhev RHSA-2015:1004
OpenStack Platform 5 (RHEL 6) qemu-kvm-rhev RHSA-2015:1004
OpenStack Platform 5 (RHEL 7) qemu-kvm-rhev RHSA-2015:1004
OpenStack Platform 6 (RHEL 7) qemu-kvm-rhev RHSA-2015:1004
RHEV-H 3 (RHEL 6) rhev-hypervisor6 RHSA-2015:1011
RHEV-H 3 (RHEL 7) rhev-hypervisor7 RHSA-2015:1011
Actualizaciones para hosts de RHEL Hypervisor

Las erratas los paquetes qemu-kvm-rhevpara RHEL 6.6.z y RHEL 7.1.z están disponibles; vea la tabla de arriba. Recomendamos a nuestros clientes actualizar el paquete qemu-kvm-rhev en hosts de RHEL Hypervisor a la versión más reciente, mediante el gestor de paquetes ayum. Para obtener instrucciones, consulte la sección Resolución abajo.

Actualizaciones para hosts de RHEV Hypervisor (RHEV-H)

Se han reconstruido las imágenes RHEV-H con la versión corregida de QEMU y están disponibles para ser descargadas. Para obtener más información, consulte RHSA-2015:1011.

Cómo determinar la vulnerabilidad.

Como cliente de Red Hat, la forma más fácil de comprobar la vulnerabilidad y confirmar la acción para remediarla es a través del Red Hat Access Lab: VENOM: QEMU Vulnerability Detector.

Resolución

Para eliminar la posibilidad de una vulnerabilidad: instale los paquetes actualizados QEMU, KVM, o Xen que están disponibles a través de las recomendaciones que aparecen en la tabla de arriba.

Para instalar las actualizaciones, use el gestor de paquetes Yum así:

yum update

Para actualizar únicamente el paquete QEMU (o el paquete pertinente a su sistema) y sus dependencias, use, por ejemplo:

yum update qemu-kvm

Después de la actualización, los huéspedes (máquinas virtuales) deben apagarse e iniciar de nuevo para que la actualización se efectúe. También es posible hacer que los huéspedes migren del host afectado, actualizar el host y luego traerlos de nuevo después de la actualización. Por favor, observe que no es suficiente reiniciar los huéspedes porque un huésped reiniciado seguiría ejecutándose mediante el mismo binario QEMU (el no actualizado).

Información adicional

Red Hat Security Blog on CVE-2015-3456

  • Component
  • kvm

Was this helpful?

We appreciate your feedback. Leave a comment if you would like to provide more detail.
It looks like we have some work to do. Leave a comment to let us know how we could improve.