爆毒液漏洞�����,是虛擬化上一個非常嚴重的漏洞,影響全線的基于KVM/XEN的虛擬化產品��。
為什么影響如此嚴重
因為KVM/XEN的虛擬硬件采用QEMU模擬��。CrowdStrike的Jason Geffner發現開源計算機仿真器QEMU中存在一個和虛擬軟盤控制器相關的安全漏洞����,代號VENOM�����,CVE編號為CVE-2015-3456���。利用此漏洞攻擊者可以在有問題的虛擬機中進行逃逸,并且可以在宿主機中獲得代碼執行的權限��,實際上是一個溢出漏洞。
虛擬機有沒有軟驅都會受影響
這個漏洞屬于首次發現�����,還沒有見到被利用的跡象。這段軟盤驅動代碼可以追溯到2004年����,打那起就沒人碰過��。之所以還保留下來,是因為有些環境下還需要虛擬軟盤的驅動����。任何虛擬機都有軟驅控制器支持��,都有該漏洞。
如何處理漏洞
所幸的是各大廠商已經提供了補丁����,對用戶來說需要做的就是升級:
RedHat/CentOS上只需要執行如下命令:
yum update qemu-kvm
然后虛擬機關機����,在啟動�����。
如果業務重要�����,不能關機�����,可以采用如下方案:
如果基于共享存儲���,升級宿主機��,然后在線遷移虛擬機。
如果是單機虛擬機,可以使用帶存儲的遷移做虛擬機的慢遷移��。
對公有云和私有云的影響
目前大部分公有云都是基于KVM/XEN�����,漏洞對大部分公有云都用影響����!
對私有云的影響要小很多�����,因為私有云全部是內部使用���,風險可控�。
