VENOM: QEMU 취약점 (CVE-2015-3456)
Red Hat 제품 보안팀은 KVM/QEMU 및 Xen 하이퍼바이저의 QEMU 구성 요소에서 구현되는 플로피 디스크 컨트롤러 (FDC: Floppy Disk Controller) 에뮬레이션에 영향을 미치는 '버퍼 오버플로우' 취약점을 인식하고 있습니다. CVE-2015-3456으로 할당된 이러한 취약점은 CrowdStrike, Inc.의 Jason Geffner에 의해 발견된 문제로 VENOM이라고 합니다. 이러한 취약점은 중요한 영향을 준다고 평가되고 있습니다.
배경 정보
QEMU는 일반적인 오픈 소스 시스템 에뮬레이터 및 버츄얼라이저로 Xen 및 KVM/QEMU 하이퍼바이저에서 가상 머신을 실행하기 위한 기초 및 하드웨어 에뮬레이션 레이어로 일부 Red Hat 제품에 통합되어 있습니다.
영향
권한을 갖는 게스트 사용자는 이 결함을 이용하여 게스트를 크래시하거나 잠재적으로 게스트에 해당하는 호스트의 QEMU 프로세스 권한을 사용하여 호스트에서 임의의 코드를 실행할 수 있습니다. 게스트가 가상 플로피 디스크를 명시적으로 설정 및 연결하지 않을 경우에도 이 문제가 악용될 수 있음에 유의해야 합니다. 이 문제는 설정에 관계없이 모든 x86 및 x86_64 게스트에 대해 초기화되는 플로피 디스크 컨트롤러에 존재하며 삭제 또는 비활성화할 수 없습니다.
현재 이러한 취약점을 악용하는 알려진 문제는 없습니다. 호스트의 QEMU 프로세스 권한 및 리소스 액세스를 제한하기 위해 사용되는 sVirt 및 seccomp 기능은 이러한 문제의 악용으로 인한 영향을 완화시킬 수 있습니다. 가능한 정책 기반 해결 방법은 게스트 내에서 신뢰할 수 없는 사용자에 대해 관리자 권한을 부여하지 않는 것입니다.
영향에 대한 자세한 정보
이러한 결함은 플로피 디스크 컨트롤러 (FDC: Floppy Disk Controller)가 시스템에 존재하기 때문에 게스트 내의 /dev/에 플로피 장치가 존재해야 하는 것은 아닙니다. FDC I/O 포트와 통신하기 위해 충분한 권한을 수반하는 게스트에 대한 사용자 액세스 수준 (예: Linux에서 root 또는 권한을 갖는 사용자 또는 Windows 게스트 상의 모든 사용자)이 이러한 결함을 악용하는데 필요한 것입니다. 이러한 취약점의 전체적인 위험을 완화하려면 신뢰할 수 있는 사용자에게 권한을 갖는 게스트 액세스를 부여하는 것입니다.
QEMU가 들어있는 모든 Red Hat 제품은 이러한 문제에 취약합니다. 영향을 받는 Red Hat 제품은 다음과 같습니다:
| 제품 | 패키지 | 권고 |
|---|---|---|
| Red Hat Enterprise Linux 5 | kvm |
RHSA-2015:1003 |
xen |
RHSA-2015:1002 | |
| Red Hat Enterprise Linux 6 | qemu-kvm |
RHSA-2015-0998 |
| Red Hat Enterprise Linux 7 | qemu-kvm |
RHSA-2015-0999 |
| Red Hat Enteprise Virtualization 3 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015-1001 |
| Red Hat Enteprise Virtualization 3 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015-1000 |
| OpenStack Platform 4 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 5 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 5 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
| OpenStack Platform 6 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
| RHEV-H 3 (RHEL 6) | rhev-hypervisor6 |
RHSA-2015:1011 |
| RHEV-H 3 (RHEL 7) | rhev-hypervisor7 |
RHSA-2015:1011 |
RHEL 하이퍼바이저 호스트 업데이트
RHEL 6.6.z 및 RHEL 7.1.z의 qemu-kvm-rhev 패키지 용 에라타를 사용할 수 있습니다. 위의 표를 참조하십시오. yum 패키지 관리자를 사용하여 최신 버전으로 RHEL 하이퍼바이저 호스트에 qemu-kvm-rhev 패키지를 업데이트할 것을 권장합니다. 업데이트 방법은 해결 방법 부분에서 참조하십시오.
RHEV 하이퍼바이저 (RHEV-H) 호스트 업데이트
수정된 QEMU 버전을 사용하여 RHEV-H 이미지가 다시 빌드되어 있으므로 이를 다운로드하여 사용할 수 있습니다. 보다 자세한 내용은 RHSA-2015:1011에서 참조하십시오.
취약성 여부 확인
Red Hat 고객의 경우 취약성 여부 및 해결 방법을 확인하기 위한 가장 쉬운 방법은 다음의 Red Hat Access Lab에서 확인하는 것입니다: VENOM: QEMU Vulnerability Detector.
해결 방법
취약점이 악용될 가능성을 제거하려면 위의 표에 나열된 권고에서 제공하는 업데이트된 QEMU, KVM, Xen 패키지를 설치합니다.
업데이트를 설치하려면 다음과 같이 yum package manager를 사용합니다:
yum update
QEMU 패키지 (또는 사용자 시스템에 관련된 패키지) 및 종속 패키지만 업데이트하려면 다음을 사용합니다:
yum update qemu-kvm
업데이트한 후 게스트 (가상 머신)는 업데이트를 적용하기 위해 전원을 끄고 다시 시작해야 합니다. 영향을 받는 호스트에서 게스트를 마이그레이션하고 호스트를 업데이트한 후 마이그레이션된 게스트를 취소할 수 있습니다. 다시 시작하는 게스트는 (업데이트되지 않은 이전의) 동일한 QEMU 바이너리를 사용하여 계속 실행할 수 있기 때문에 게스트를 다시 시작하는 것만으로는 충분하지 않을 수 있음에 유의합니다.
Comments