爆毒液漏洞,是虛擬化上一個(gè)非常嚴(yán)重的漏洞����,影響全線的基于KVM/XEN的虛擬化產(chǎn)品����。
為什么影響如此嚴(yán)重
因?yàn)镵VM/XEN的虛擬硬件采用QEMU模擬����。CrowdStrike的Jason Geffner發(fā)現(xiàn)開(kāi)源計(jì)算機(jī)仿真器QEMU中存在一個(gè)和虛擬軟盤(pán)控制器相關(guān)的安全漏洞����,代號(hào)VENOM,CVE編號(hào)為CVE-2015-3456����。利用此漏洞攻擊者可以在有問(wèn)題的虛擬機(jī)中進(jìn)行逃逸,并且可以在宿主機(jī)中獲得代碼執(zhí)行的權(quán)限����,實(shí)際上是一個(gè)溢出漏洞����。
虛擬機(jī)有沒(méi)有軟驅(qū)都會(huì)受影響
這個(gè)漏洞屬于首次發(fā)現(xiàn),還沒(méi)有見(jiàn)到被利用的跡象����。這段軟盤(pán)驅(qū)動(dòng)代碼可以追溯到2004年����,打那起就沒(méi)人碰過(guò)����。之所以還保留下來(lái)����,是因?yàn)橛行┉h(huán)境下還需要虛擬軟盤(pán)的驅(qū)動(dòng)����。任何虛擬機(jī)都有軟驅(qū)控制器支持����,都有該漏洞。
如何處理漏洞
所幸的是各大廠商已經(jīng)提供了補(bǔ)丁,對(duì)用戶來(lái)說(shuō)需要做的就是升級(jí):
RedHat/CentOS上只需要執(zhí)行如下命令:
yum update qemu-kvm
然后虛擬機(jī)關(guān)機(jī)����,在啟動(dòng)。
如果業(yè)務(wù)重要,不能關(guān)機(jī),可以采用如下方案:
如果基于共享存儲(chǔ)����,升級(jí)宿主機(jī),然后在線遷移虛擬機(jī)。
如果是單機(jī)虛擬機(jī)����,可以使用帶存儲(chǔ)的遷移做虛擬機(jī)的慢遷移����。
對(duì)公有云和私有云的影響
目前大部分公有云都是基于KVM/XEN����,漏洞對(duì)大部分公有云都用影響����!
對(duì)私有云的影響要小很多����,因?yàn)樗接性迫渴莾?nèi)部使用����,風(fēng)險(xiǎn)可控����。
