読者です 読者をやめる 読者になる 読者になる

Writing Virtual Life

仮想化(VMware)などについて、重箱の隅をつつくタイプのブログ。

仮想化ベンダにおけるVENOMの影響

5月13日に公開されたセキュリティ脆弱性「VENOM」。
古くから知られるエミュレータQEMUの持つ仮想フロッピーディスクコントローラ(FDC)のバグが原因となっており、影響としては仮想マシン上からホストOSに対してコードを実行させることができるという。
FDCが脆弱性の原因となっているが、VMおよびホストがFDを接続していない場合でも関連する。なぜならFDCコードはQEMUの中に残っており、VMを追加する際にデフォルトで追加されてしまうため、脆弱性の影響を受けてしまう。

なお、この脆弱性を使って悪意のコードを流すのはなかなか困難であるらしく、事例は挙がっていない。
影響のある製品については情報と同時に脆弱性対応パッチが公開されているため、パッチ適用さえ怠らなければよい。

VENOM Vulnerability
http://venom.crowdstrike.com/

影響のない製品

VMware QEMUを使用していない
 http://kb.vmware.com/kb/2117469
Bochs QEMUを使用していない
Hyper-V Xenをコアにしているもののエミュレータとしては使用していないため

影響のありうる製品

本家HPに対象リストがあり、そのなかで個人的に気になるものをピックアップした。
URLと対象となるOSバージョン、そのパッケージを記載。

QEMU:
http://git.qemu.org/?p=qemu.git;a=commitdiff;h=e907746266721f305d67bc0718795fedee2e824c

Xen Project:
http://xenbits.xen.org/xsa/advisory-133.html
Xen 4.2.x-4.5.x
qemu関連

Red Hat:
https://access.redhat.com/articles/1444903
RHEL 5,6,7
kvm,xen,qemu-kvm,qemu-kvm-rhev

Citrix:
http://support.citrix.com/article/CTX201078
XenServer 6.0-6.5

Ubuntu:
http://www.ubuntu.com/usn/usn-2608-1/
Ubuntu 12.04, 14.04, 14.10, 15.04
qemu, qemu-kvm

Debian:
https://security-tracker.debian.org/tracker/CVE-2015-3456

Suse:
https://www.suse.com/support/kb/doc.php?id=7016497
SLES 10-SP3,SP4 11-SP1,SP2,SP3 12

Amazon:
http://aws.amazon.com/security/security-bulletins/XSA_Security_Advisory_CVE_2015_3456/
対策済み。