VENOM: Vulnerabilità QEMU (CVE-2015-3456)

Red Hat Product Security è venuta a conoscenza di una vulnerabilità 'buffer overflow' che interessa l'emulazione del Floppy Disk Controller (FDC), implementata con il componente QEMU degli hypervisor KVM/QEMU e Xen. Questa vulnerabilità, alla quale è stata assegnata un CVE-2015-3456 e identificata come VENOM, è stata scoperta da Jason Geffner di CrowdStrike, Inc, e ha un impatto Importante.

Informazioni supplementari

QEMU è un virtualizzatore ed emulatore open source generico, incorporato in alcuni prodotti di Red Hat, esso rappresenta un livello di emulazione hardware per macchine virtuali in esecuzione con hypervisor Xen e KVM/QEMU.

Impatto

Un utente guest privilegiato è in grado di sfruttare questa vulnerabilità per arrestare inaspettatamente il guest, o potenzialmente, eseguire un codice arbitrario sull'host con i privilegi del processo QEMU dell'host corrispondenti al guest. Questo tipo di vulnerabilità può essere sfruttata anche in assenza di un floppy disk virtuale assegnato e configurato per il guest. Questo problema riguarda il Floppy Disk Controller inizializzato per ogni guest x86 e x86_64, senza considerare la configurazione e senza poter essere rimosso o disabilitato.

Al momento non siamo a conoscenza di alcun tipo di attacco in grado di sfruttare questa vulnerabilità. sVirt e seccomp, usate per limitare i privilegi del processo QEMU e l'accesso alle risorse, sono in grado di ridurre un eventuale impatto negativo. Una soluzione possibile è quella di non conferire i privilegi amministrativi agli utenti non fidati presenti all'interno dei guest.

Informazioni dettagliate sul tipo di impatto

Questo tipo di problema non ha bisogno di un dispositivo floppy in /dev/ all'interno del guest poichè è presente nel sistema un Floppy Disk Controller (FDC). Per poter sfruttare questo tipo di vulnerabilità è necessario avere un utente in grado di accedere ad un guest, che abbia permessi sufficienti a contattare le porte FDC I/O (es. un utente privilegiato o root su Linux o qualsiasi utente su un guest Windows). Per limitare eventuali rischi, conferire un accesso privilegiato al guest solo agli utenti fidati.

Tutti i prodotti di Red Hat che includono QEMU sono vulnerabili a questo tipo di problema. I prodotti interessati sono:

Aggiornamenti host dell'hypervisor di RHEL

Sono stati resi diponibili gli errata per i pacchetti qemu-kvm-rhev di RHEL 6.6.z e RHEL 7.1.z; consultare la tabella sopra riportata. È consigliato aggiornare il pacchetto qemu-kvm-rhev all'ultimissima versione usando il gestore dei pacchetti yum. A tale scopo consultare la sezione Soluzione per maggiori informazioni.

Aggiornamenti host (RHEV-H) dell'hypervisor di RHEL

Le immagini RHEV-H sono state ricompilate con una versione fissa di QEMU e sono disponibili per il dowload. Consultare RHSA-2015:1011 per informazioni.

Come determinare questo tipo di vulnerabilità

Come utente di Red Hat il metodo più semplice per controllare questo tipo di vulnerabilità e per una sua soluzione, utilizzare il Red Hat Access Lab: Samba CVE-2015-0240 Detector. -->

Soluzione

Per eliminare il verificarsi di questo tipo di vulnerabilità installare i pacchetti QEMU, KVM, o Xen aggiornati, disponibili attraverso le advisory presenti nell'elenco sopra indicato.

Per installare gli aggiornamenti usare il gestore dei pacchetti yum nel modo seguente:

yum update

Per aggiornare solo il pacchetto QEMU (o il pacchetto rilevante per il sistema interessato) e le relative dipendenze, usare:

yum update qemu-kvm

Dopo l'aggiornamento, per implementare le modifiche spegnere e riavviare i guest (macchine virtuali). A tal proposito è possibile anche migrare i guest dall'area interessata, e dopo l'aggiornamento, riposizionarli nella loro posizione originale. Nota bene, non è sufficiente solo riavviare i guest poichè essi continueranno ad usare lo stesso binario QEMU (vecchio e non aggiornato).

Informazioni aggiuntive

Red Hat Security Blog on CVE-2015-3456