現在位置: ホーム / OSSブログ / QEMU 脆弱性 ”VENOM” について (CVE-2015-3456)

QEMU 脆弱性 ”VENOM” について (CVE-2015-3456)

オープンソースのプロセッサエミュレータであるQEMUにて脆弱性が発見されました。 本記事では「VENOM」と名付けられたCVE-2015-3456の脆弱性について情報をまとめております。

Linuxの標準仮想化ソフトウェアであるXenやKVMのエミュレーターとして使用されるQEMUにて、脆弱性 ”VENOM” (CVE-2015-3456) が発見されました。

CVE-2015-3456:QEMU 脆弱性 ”VENOM”

本脆弱性では、ゲストOSの管理者権限を持つユーザーがQEMUコンポーネントに実装されるフロッピーディスクコントローラーエミュレーションのバッファオーバーフローを利用して、サービス拒否 (out-of-bounds write and guest crash) や任意のコードを実行することができます。

仮想環境を複数の企業およびユーザーが共有しているようなクラウドサービスをご利用の場合、本脆弱性を悪用して、同仮想ホスト上のゲストOSのサービスに影響を与えたり、サーバーを乗っ取るなどの問題が発生する可能性が考えられます。

なお、ゲストが仮想フロッピーディスクを明示的に設定および接続していない場合でも、この脆弱性の悪用が可能となりますのでご注意ください。

ご利用の仮想環境が他社と共有されている場合、および管理者権限もしくはroot権限が信頼できるユーザーのみに発行されていない場合は、脆弱性に対応したバージョンにアップデート頂くことが推奨されます。

なお、レッドハット社の脆弱性情報では下記の通り、ゲストOSが利用するQEMUバイナリーに反映させるためにはOEMUパッケージをアップデート後に、仮想マシンは一度電源をオフにして起動し直す必要があることが勧告されています。アップデート時にはご注意ください。

アップデートが完了したら、ゲスト (仮想マシン) は、アップデートを有効にするために 電源をオフ にしてから起動し直す必要があります。再起動した VM は同じ (アップデートされたものではなく既存の) QEMU バイナリーを使用して実行し続ける可能性があるため、VM を再起動するだけでは十分ではないことに注意してください。

各Linuxディストリビューターの対応状況

Red Hat:VENOM: QEMU 脆弱性 (CVE-2015-3456)
https://access.redhat.com/ja/node/1446873

SUSE:qemu/KVM/Xen: floppy driver allows VM escape ("VENOM" vulnerability, CVE-2015-3456)
https://www.suse.com/support/kb/doc.php?id=7016497

[参考] Vulnerability Summary for CVE-2015-3456
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3456