VENOM: Vulnerabilidade do QEMU (CVE-2015-3456)
Red Hat Security Product foi informado de uma vulnerabilidade de "estouro de buffer" que afeta a emulação do Floppy Disk Controller (FDC) implementado no componente QEMU dos hipervisors KVM/QEMU e Xen. A vulnerabilidade, a qual atribuiu o CVE-2015-3456 e é agora referido referido como VENOM, foi descoberta por Jason Geffner do CrowdStrike, Inc. A vulnerabilidade foi classificada como sendo um Importante impacto importante.
Informações de Fundo
O QEMU é um emulador e virtualizador de máquina de fonte aberta e genérico e é incorporado em alguns produtos da Red Hat como uma camada de emuladção de hardware e base para exectuar máquinas virtuais sob os hipervisors do Xen e KVM/QEMU.
Impacto
Um usuário convidado privilegiado usa esta falha para travar o convidado ou, especialmente, executar código arbitrário no host com privilégios do processo QEMU do host correspondente ao convidado. É necessário notar que até mesmo se um convidado não possuir explicitamente um disco floppy virtual configurado e anexado, este problema é explorável. O problema existe no Controlador de Disco Floppy que é inicializado em todos os convidados x86 e x86-64, não importando a configuração e não pode ser removido ou desabilitado.
Não existe nenhuma exploração conhecida que possa fazer uso desta vulnerabilidade. As funções do sVirt e seccomp usadas para restringir os privilégios do processo do QEMU do host e acesso de recursos podem mitigar o impacto de exploração bem sucedida deste problema. Uma solução possível baseada em política é evitar prover privilégios de administrador à usuários não confiáveis dentro dos convidados.
Informação de Impacto Detalhada
Este defeito não requer que o dispositivo móvel esteja presente no /dev/
dentro do convidado pois o Floppy Disk Controller (FDC) ainda está presente no sistema. O acesso ao nível de usuário à um convidado com permissões suficientes para falar com as portas do FDC I/O (ex.: o usuário root ou previlegiado no LInux ou virtualmente qualquer usuário em um convidado Windows) é o necessário para explorar esta falha. Para mitigar o risco total desta vulnerabilidade, forneça acesso de convidado previlegiado à usuários confiáveis.
Todos os produtos da Red Hat que são incluídos com o QEMU estão vulneráveis à esta falha. Os produtos Red Hat afetados são estes a seguir:
Product | Package | Advisory |
---|---|---|
Red Hat Enterprise Linux 5 | kvm |
RHSA-2015:1003 |
xen |
RHSA-2015:1002 | |
Red Hat Enterprise Linux 6 | qemu-kvm |
RHSA-2015-0998 |
Red Hat Enterprise Linux 7 | qemu-kvm |
RHSA-2015-0999 |
Red Hat Enteprise Virtualization 3 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015-1001 |
Red Hat Enteprise Virtualization 3 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015-1000 |
OpenStack Platform 4 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
OpenStack Platform 5 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
OpenStack Platform 5 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
OpenStack Platform 6 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
RHEV-H 3 (RHEL 6) | rhev-hypervisor6 |
RHSA-2015:1011 |
RHEV-H 3 (RHEL 7) | rhev-hypervisor7 |
RHSA-2015:1011 |
Atualizações para os hosts do RHEL Hypervisor
Errata para os pacotesqemu-kvm-rhev
para RHEL 6.6.z e RHEL 7.1.z foram disponibilizados. Veja a tabela acima. Recomendamos que clientes atualizem o pacote qemu-kvm-rhev
nos hosts do RHEL Hypervisor para a versão mais recente utilizando o gerenciador do pacote yum
. Veja a seção Resolution abaixo para obter instruções.
Atualizações para os hosts RHEV Hypervisor (RHEV-H)
As imagens do RHEV-H foram reconstruídas com a versão reparada do QEMU e estão disponíveis agora para download. Veja RHSA-2015:1011 para obter detalhes.
Determinando Vulnerabilidade
Como cliente da Red Hat, a maneira mais fácil para você verificar vulnerabilidade e confirmar remediação é a Red Hat Access Lab: VENOM: QEMU Vulnerability Detector.
Resolução
Para eliminar a possibilidade de exploração, instale os pacotes atualizados do QEMU, KVM, or Xen que foram disponibilizados através dos conselheiros listados na tabela acima.
Para instalar as atualizações, use o gerenciador de pacotes yum da seguinte forma:
yum update
Para somente atualizar o pacote QEMU (ou pacote relevante ao seu sistema) e suas dependências, use por exemplo:
yum update qemu-kvm
Após a atualização, os convidados (máquinas virtuais) precisam ser **desligados ** e iniciados novamente para que a atualização seja efetivada. Também é possível migrar os convidados para longe do host afetado e depois da atualização, migrá-los de volta. Por favor, note que reiniciar um convidado não é o suficiente porque um convidado reiniciado continuaria em execução usando o mesmo binário QEMU (antiga, não atualizada).
Comments