VENOM: QEMU 漏洞 (CVE-2015-3456)
Red Hat 产品安全团队发现'缓存溢出'漏洞,该漏洞可影响 KVM/QEMU 和 Xen hypervisor 的 QEMU 组件中实施的软盘控制器(Floppy Disk Controller,FDC)模拟。已为该漏洞分配 [CVE-2015-3456](https://access.redhat.com/security/cve/CVE-2015-3456),目前称之为 VENOM。该漏洞由 CrowdStrike, Inc 的 Jason Geffner 发现。该漏洞的评级为有 [重要](https://access.redhat.com/security/updates/classification/#important)影响。
背景资料
QEMU 为通用开源机器模拟器和虚拟器,在一些 Red Hat 产品中作为基础及硬件模拟层使用,以便能够在 Xen 和 KVM/QEMU hypervisor 中运行虚拟机。
影响
特许虚拟机用户可利用这个缺陷破坏虚拟机,并有可能在其 QEMU 进程可响应虚拟机的主机中执行任意代码。要注意的是,即使虚拟机没有明确配置并添加虚拟软盘,这也是一个可以被利用的弱点。该问题在软盘控制器中存在,在每台 x86 及 x86_64 虚拟机中都会启动该程序,无论是否删除或禁用该配置。
目前尚无利用这个漏洞的案例。用来限制主机 QEMU 进程特权和资源访问的 sVirt 和 seccomp 功能能够减轻成功利用这个漏洞造成的影响。可采用基于策略的临时解决方案,即避免在虚拟机中为不信任的用户授予管理员特权。
具体影响信息
这个漏洞并不要求在虚拟机的 /dev/
中有软盘设备,因为系统中仍存在软盘控制器(FDC)。要利用这个漏洞,只需要以用户身份访问虚拟机,并有可与 FDC I/O 端口沟通的权限即可(例如:root 用户,或者 Linux 系统中的特权用户,或者 Windows 虚拟机中虚拟的任意用户)。要减轻这个漏洞的总体风险,请只为信任的用户授予特权虚拟机访问。
所有附带 QEMU 的 Red Hat 产品都会受到这个缺陷的影响。受影响的 Red Hat 产品包括:
产品 | 软件包 | 公告 |
---|---|---|
Red Hat Enterprise Linux 5 | kvm |
RHSA-2015:1003 |
xen |
RHSA-2015:1002 | |
Red Hat Enterprise Linux 6 | qemu-kvm |
RHSA-2015-0998 |
Red Hat Enterprise Linux 7 | qemu-kvm |
RHSA-2015-0999 |
Red Hat Enteprise Virtualization 3 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015-1001 |
Red Hat Enteprise Virtualization 3 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015-1000 |
OpenStack Platform 4 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
OpenStack Platform 5 (RHEL 6) | qemu-kvm-rhev |
RHSA-2015:1004 |
OpenStack Platform 5 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
OpenStack Platform 6 (RHEL 7) | qemu-kvm-rhev |
RHSA-2015:1004 |
RHEV-H 3 (RHEL 6) | rhev-hypervisor6 |
RHSA-2015:1011 |
RHEV-H 3 (RHEL 7) | rhev-hypervisor7 |
RHSA-2015:1011 |
RHEL Hypervisor 主机更新
已提供用于 RHEL 6.6.z 和 RHEL 7.1.z 的 qemu-kvm-rhev
软件包勘误,如上表所示。建议用户使用 yum
软件包管理器将 RHEL Hypervisor 主机中的 qemu-kvm-rhev
软件包更新到最新版本。具体操作请参考下面的 解决方案 部分。
RHEV Hypervisor(RHEV-H)主机更新
已使用 QEMU 的修复版本重新构建 RHEV-H 映像,现已可下载。详情请查看 RHSA-2015:1011。
确定漏洞
作为 Red Hat 用户,检查并确定补救方法的最简单方式是使用 Red Hat Access Lab: VENOM: QEMU Vulnerability Detector。
解决方案
为消除影响扩散的可能性,请安装更新的 QEMU、KVM 或 Ken 软件包,具体软件包已知上表中的公告列列出。
请使用 yum 软件包管理程序,按以下方法安装这些更新:
yum update
如果只更新 QEMU 软件包(或者您系统的相关软件包)及其相依性,请使用:
yum update qemu-kvm
更新后,虚拟机需要关机并再次开机以便更新生效。也可以将虚拟机迁移出受影响的主机,更新该主机,然后将该虚拟机迁移回原处。请注意:还不能使用重启虚拟机完成此操作,因为重启的虚拟机可能会继续使用同一(旧的,未更新的)QEMU 二进制程序运行。
Comments