VENOM: Vulnerabilidad QEMU (CVE-2015-3456)
Red Hat Product Security ha tenido conocimiento de una vulnerabilidad de 'desbordamiento de búfer' que afecta la emulación del Controlador de disco blando (FDC por sus siglas en inglés ), implementada en el componente QEMU de los hipervisores KVM/QEMU y Xen. Esta vulnerabilidad, identificada como CVE-2015-3456 y conocida ahora como VENOM, fue descubierta por Jason Geffner de CrowdStrike, Inc. Dicha vulnerabilidad fue valorada de impacto Importante.
Información de fondo
QEMU es un emulador genérico de máquinas de código abierto incorporado en algunos productos de Red Hat como una capa de emulación de hardware para ejecutar máquinas virtuales en hipervisores Xen y KVM/QEMU.
Impacto
Un huésped con privilegios, podría utilizar este error para dañar el huésped o, en potencia, ejecutar código arbitrario en el host con los privilegios del proceso QEMU de host correspondiente al huésped. Observe que esta situación es vulnerable, incluso cuando el huésped no tiene explícitamente un disco blando virtual configurado y conectado. El problema existe en el Controlador de discos blandos, el cual se inicializa para cada huésped x86 y x86_64 , sin considerar la configuración y no se puede retirar o inhabilitar.
En el momento, no hay ninguna herramienta maliciosa conocida, que haya hecho uso de esta vulnerabilidad. Las funcionalidades Svirt y seccomp utilizadas para restringir los privilegios del proceso QEMU y el acceso a recursos podrían mitigar el impacto del aprovechamiento de este problema. Una posible solución basada en políticas es evitar otorgar privilegios administrativos a usuarios no confiables dentro de los huéspedes.
Información de impacto detallada
Este error no requiere el dispositivo blando en /dev/ dentro del huésped porque el Controlador de disco blando (FDC) aún está presente en el sistema. Todo lo que se requiere para aprovechar este error, es tener acceso a nivel de usuario con permisos suficientes para comunicarse con los puertos de E/S FDC (ej, el usuario root, un usuario privilegiado en Linux o, en potencia, cualquier usuario en un huésped de Windows). Para mitigar el riesgo de esta vulnerabilidad, otórguele únicamente acceso privilegiado a huéspedes confiables.
Todos los productos Red Hat que incluyen QEMU son vulnerables a este error. Los productos de Red Hat afectados son los siguientes:
| Producto | Paquete | Recomendación |
|---|---|---|
| Red Hat Enterprise Linux 5 | kvm |
RHSA-2015:1003 |
xen |
RHSA-2015:1002 | |
| Red Hat Enterprise Linux 6 | qemu-kvm |
RHSA-2015-0998 |
| Red Hat Enterprise Linux 7 | qemu-kvm |
RHSA-2015-0999 |
| Red Hat Enteprise Virtualization 3 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015-1001 |
| Red Hat Enteprise Virtualization 3 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015-1000 |
| OpenStack Platform 4 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 5 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 5 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 6 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
| RHEV-H 3 (RHEL 6) | rhev-hypervisor6 |
RHSA-2015:1011 |
| RHEV-H 3 (RHEL 7) | rhev-hypervisor7 |
RHSA-2015:1011 |
Actualizaciones para hosts de RHEL Hypervisor
Las erratas los paquetes qemu-kvm-rhevpara RHEL 6.6.z y RHEL 7.1.z están disponibles; vea la tabla de arriba. Recomendamos a nuestros clientes actualizar el paquete qemu-kvm-rhev en hosts de RHEL Hypervisor a la versión más reciente, mediante el gestor de paquetes ayum. Para obtener instrucciones, consulte la sección Resolución abajo.
Actualizaciones para hosts de RHEV Hypervisor (RHEV-H)
Se han reconstruido las imágenes RHEV-H con la versión corregida de QEMU y están disponibles para ser descargadas. Para obtener más información, consulte RHSA-2015:1011.
Cómo determinar la vulnerabilidad.
Como cliente de Red Hat, la forma más fácil de comprobar la vulnerabilidad y confirmar la acción para remediarla es a través del Red Hat Access Lab: VENOM: QEMU Vulnerability Detector.
Resolución
Para eliminar la posibilidad de una vulnerabilidad: instale los paquetes actualizados QEMU, KVM, o Xen que están disponibles a través de las recomendaciones que aparecen en la tabla de arriba.
Para instalar las actualizaciones, use el gestor de paquetes Yum así:
yum update
Para actualizar únicamente el paquete QEMU (o el paquete pertinente a su sistema) y sus dependencias, use, por ejemplo:
yum update qemu-kvm
Después de la actualización, los huéspedes (máquinas virtuales) deben apagarse e iniciar de nuevo para que la actualización se efectúe. También es posible hacer que los huéspedes migren del host afectado, actualizar el host y luego traerlos de nuevo después de la actualización. Por favor, observe que no es suficiente reiniciar los huéspedes porque un huésped reiniciado seguiría ejecutándose mediante el mismo binario QEMU (el no actualizado).
Comments