VENOM: QEMU 漏洞 (CVE-2015-3456)

Red Hat 产品安全团队发现'缓存溢出'漏洞,该漏洞可影响 KVM/QEMU 和 Xen hypervisor 的 QEMU 组件中实施的软盘控制器(Floppy Disk Controller,FDC)模拟。已为该漏洞分配 [CVE-2015-3456](https://access.redhat.com/security/cve/CVE-2015-3456),目前称之为 VENOM。该漏洞由 CrowdStrike, Inc 的 Jason Geffner 发现。该漏洞的评级为有 [重要](https://access.redhat.com/security/updates/classification/#important)影响。

背景资料

QEMU 为通用开源机器模拟器和虚拟器,在一些 Red Hat 产品中作为基础及硬件模拟层使用,以便能够在 Xen 和 KVM/QEMU hypervisor 中运行虚拟机。

影响

特许虚拟机用户可利用这个缺陷破坏虚拟机,并有可能在其 QEMU 进程可响应虚拟机的主机中执行任意代码。要注意的是,即使虚拟机没有明确配置并添加虚拟软盘,这也是一个可以被利用的弱点。该问题在软盘控制器中存在,在每台 x86 及 x86_64 虚拟机中都会启动该程序,无论是否删除或禁用该配置。

目前尚无利用这个漏洞的案例。用来限制主机 QEMU 进程特权和资源访问的 sVirt 和 seccomp 功能能够减轻成功利用这个漏洞造成的影响。可采用基于策略的临时解决方案,即避免在虚拟机中为不信任的用户授予管理员特权。

具体影响信息

这个漏洞并不要求在虚拟机的 /dev/ 中有软盘设备,因为系统中仍存在软盘控制器(FDC)。要利用这个漏洞,只需要以用户身份访问虚拟机,并有可与 FDC I/O 端口沟通的权限即可(例如:root 用户,或者 Linux 系统中的特权用户,或者 Windows 虚拟机中虚拟的任意用户)。要减轻这个漏洞的总体风险,请只为信任的用户授予特权虚拟机访问。

所有附带 QEMU 的 Red Hat 产品都会受到这个缺陷的影响。受影响的 Red Hat 产品包括:

产品 软件包 公告
Red Hat Enterprise Linux 5 kvm RHSA-2015:1003
xen RHSA-2015:1002
Red Hat Enterprise Linux 6 qemu-kvm RHSA-2015-0998
Red Hat Enterprise Linux 7 qemu-kvm RHSA-2015-0999
Red Hat Enteprise Virtualization 3 (RHEL 6) qemu-kvm-rhev RHSA-2015-1001
Red Hat Enteprise Virtualization 3 (RHEL 7) qemu-kvm-rhev RHSA-2015-1000
OpenStack Platform 4 (RHEL 6) qemu-kvm-rhev RHSA-2015:1004
OpenStack Platform 5 (RHEL 6) qemu-kvm-rhev RHSA-2015:1004
OpenStack Platform 5 (RHEL 7) qemu-kvm-rhev RHSA-2015:1004
OpenStack Platform 6 (RHEL 7) qemu-kvm-rhev RHSA-2015:1004
RHEV-H 3 (RHEL 6) rhev-hypervisor6 RHSA-2015:1011
RHEV-H 3 (RHEL 7) rhev-hypervisor7 RHSA-2015:1011
RHEL Hypervisor 主机更新

已提供用于 RHEL 6.6.z 和 RHEL 7.1.z 的 qemu-kvm-rhev 软件包勘误,如上表所示。建议用户使用 yum 软件包管理器将 RHEL Hypervisor 主机中的 qemu-kvm-rhev 软件包更新到最新版本。具体操作请参考下面的 解决方案 部分。

RHEV Hypervisor(RHEV-H)主机更新

已使用 QEMU 的修复版本重新构建 RHEV-H 映像,现已可下载。详情请查看 RHSA-2015:1011

确定漏洞

作为 Red Hat 用户,检查并确定补救方法的最简单方式是使用 Red Hat Access Lab: VENOM: QEMU Vulnerability Detector

解决方案

为消除影响扩散的可能性,请安装更新的 QEMU、KVM 或 Ken 软件包,具体软件包已知上表中的公告列列出。

请使用 yum 软件包管理程序,按以下方法安装这些更新:

yum update

如果只更新 QEMU 软件包(或者您系统的相关软件包)及其相依性,请使用:

yum update qemu-kvm

更新后,虚拟机需要关机并再次开机以便更新生效。也可以将虚拟机迁移出受影响的主机,更新该主机,然后将该虚拟机迁移回原处。请注意:还不能使用重启虚拟机完成此操作,因为重启的虚拟机可能会继续使用同一(旧的,未更新的)QEMU 二进制程序运行。

附加信息

Red Hat Security Blog on CVE-2015-3456

  • Component
  • kvm

Was this helpful?

We appreciate your feedback. Leave a comment if you would like to provide more detail.
It looks like we have some work to do. Leave a comment to let us know how we could improve.