Zum Inhalt springen
BlogCloud ÜbersichtenVENOM (CVE-2015-3456) Sicherheitslücke und Linode

VENOM (CVE-2015-3456) Sicherheitslücke und Linode

Ein neuer Sicherheitshinweis, CVE-2015-3456, genannt VENOM (Virtualized Environment Neglected Operations Manipulation), wurde heute veröffentlicht. Unser Sicherheitsteam hat diese Schwachstelle gründlich geprüft und wir wollten uns einen Moment Zeit nehmen, um Linode-Kunden zu versichern, dass diese Schwachstelle keinen Teil der Linode-Infrastruktur betrifft und keine Maßnahmen von Ihrer Seite erforderlich sind.

Was ist VENOM?

VENOM ist eine Sicherheitslücke, die den Code eines virtuellen Diskettenlaufwerks in QEMU ausnutzt, das einen Diskettencontroller emuliert. Auf bestimmten Plattformen kann dieser Code ausgenutzt werden, was es Angreifern ermöglicht, aus einem Gast einer virtuellen Maschine zu entkommen und privilegierten Zugriff auf den Host zu erhalten.

Warum ist Linode nicht betroffen?

In XSA-133, dem Xen Security Advisory, das Details zu dieser Sicherheitslücke enthält, heißt es: "Systeme, auf denen nur x86-PV-Gäste laufen, sind nicht anfällig". Diese Schwachstelle gilt für QEMU-Gäste auf KVM und XEN HVM-Gäste. Linode verwendet nur XEN PV-Gäste, die von dieser Sicherheitslücke nicht betroffen sind. Genauer gesagt, XEN PV-Gäste erfordern nicht die Verwendung von QEMU.

Was muss ich tun?

Glücklicherweise muss zu diesem Zeitpunkt nichts an Ihrer Linode gemacht werden. Das Linode-Sicherheitsteam überwacht ständig alle CVE's und XSA's, um sicherzustellen, dass unsere interne Infrastruktur und Kunden-Linode's so sicher wie möglich sind.


Kommentare (6)

  1. Author Photo

    What about the KVM beta?

  2. Author Photo

    Hi Matt, Thanks for the question!

    We have already patched the version of QEMU that is being used by KVM beta customers so it is also no longer an issue.

    Best,
    Lev

  3. Author Photo

    Good job, guys.

  4. Author Photo

    James, there are clearly too many of us on the internet.

  5. Author Photo

    Happy customer here. Just became aware of the issue. Came by to check relevance for Linode users. Left an even-happier customer. 😉

Kommentar abgeben

Ihre E-Mail Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit *gekennzeichnet