這幾天驚爆毒液漏洞,是虛擬化上一個非常嚴重的漏洞,影響全線的基於KVM/XEN的虛擬化產品。
爲什麼影響如此嚴重
因爲KVM/XEN的虛擬硬件採用QEMU模擬。CrowdStrike的Jason Geffner發現開源計算機仿真器QEMU中存在一個和虛擬軟盤控制器相關的安全漏洞,代號VENOM,CVE編號爲CVE-2015-3456。利用此漏洞***者可以在有問題的虛擬機中進行逃逸,並且可以在宿主機中獲得代碼執行的權限,實際上是一個溢出漏洞。
虛擬機有沒有軟驅都會受影響
這個漏洞屬於首次發現,還沒有見到被利用的跡象。這段軟盤驅動代碼可以追溯到2004年,打那起就沒人碰過。之所以還保留下來,是因爲有些環境下還需要虛擬軟盤的驅動。任何虛擬機都有軟驅控制器支持,都有該漏洞。
如何處理漏洞
所幸的是各大廠商已經提供了補丁,對用戶來說需要做的就是升級:
RedHat/CentOS上只需要執行如下命令:
yum update qemu-kvm
然後虛擬機關機,在啓動。
如果業務重要,不能關機,可以採用如下方案:
如果基於共享存儲,升級宿主機,然後在線遷移虛擬機。
如果是單機虛擬機,可以使用帶存儲的遷移做虛擬機的慢遷移。
對公有云和私有云的影響
目前大部分公有云都是基於KVM/XEN,漏洞對大部分公有云都用影響!
對私有云的影響要小很多,因爲私有云全部是內部使用,風險可控。
參考資料
毒液漏洞官方網站
http://venom.crowdstrike.com/
RedHat官方毒液漏洞頁面
https://access.redhat.com/articles/1444903
360網站上關於毒液漏洞的詳細說明
http://blogs.360.cn/blog/venom-%E6%AF%92%E6%B6%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%EF%BC%88qemu-kvm-cve%E2%80%902015%E2%80%903456%EF%BC%89/