ここを見て, Qiita に脆弱性情報を残しておくのもいいかと思い,個人用のメモとして記しておく。今後も同様の情報をアップしていく予定であるが,基本的には CVSS 基本値 7.0 以上または影響範囲が広範なものに限定する。
個々の脆弱性情報については IPA のアラートや JPCERT/CC のアナウンスを常日頃から監視しておくことをお薦めする。なお個人的に脆弱性情報専用の Twitter bot を運用しているので,よろしければそちらもどうぞ。
VENOM とは
VENOM(Virtualized Environment Neglected Operations Manipulation)
QEMU のフロッピーディスク コントローラ (FDC) エミュレーション実装に buffer overflow する欠陥があり、仮想 OS からハイパーバイザー本体を攻略できる。この脆弱性を悪用された場合、攻撃者が仮想マシンから抜け出し、ホスト側のシステムに対してアクセス・任意のコード実行が可能となる恐れがある。
影響度
CVSS 基本値 7.7 (AV:A/AC:L/Au:S/C:C/I:C/A:C)
| 基本評価基準 | 評価値 |
|---|---|
| 攻撃元区分(AV) | 隣接ネットワーク(A) |
| 攻撃条件の複雑さ(AC) | 低(L) |
| 攻撃前の認証要否(Au) | 単一認証(S) |
| 情報漏えいの可能性(機密性への影響, C) | 全面的(C) |
| 情報改ざんの可能性(完全性への影響, I) | 全面的(C) |
| 業務停止の可能性(可用性への影響, A) | 全面的(C) |
CVSS についてはデモページを参照のこと。
影響を受ける実装
QEMU は Xen や VirtualBox にも利用されているため、これらも影響を受ける。
- Xen : Xen Security Advisory CVE-2015-3456 / XSA-133 : Privilege escalation via emulated floppy disk drive
- VirtualBox : 4.3.28 では未修整?
クラウドサービスへの影響は以下の通り。
- Amazon AWS は影響を受けない(XSA Security Advisory CVE-2015-3456)
- さくらインターネット : 【重要】VENOM(KVM・XenなどのQEMUの脆弱性)に関する対策について
確認の結果、さくらのレンタルサーバにつきましては、影響がないことが判明いたしました。
以下の製品は影響を受けない。
- VMware
- Bochs
- Microsoft Hyper-V
- Softlayer : Update - VENOM Vulnerability | SoftLayer Blog
参考ページ
- VENOM Vulnerability
- fdc: force the fifo access to be in bounds of the allocated buffer
- セキュリティホール memo の記事
- QEMU 仮想フロッピードライブコントローラの脆弱性(通称:VENOM) CVE-2015-3456についてまとめてみた。 - piyolog
- 【重要】VENOM(KVM・XenなどのQEMUの脆弱性)に関する対策について(5/15 11:30更新) | さくらインターネット
- 脆弱性「VENOM」をセキュリティ企業が新たに報告--広範な仮想プラットフォームに影響 - ZDNet Japan
Red Hatはシステム管理者に対し、「yum update」または「yum update qemu-kvm」コマンドを使ってシステムをアップデートするよう推奨している。その後、ゲスト(仮想マシン)を「パワーオフ」した上で改めて起動する必要がある。再起動するだけでは古いQEMUバイナリが使われてしまうため、不十分だという。
その他情報歓迎です。