Hoy se ha publicado un nuevo aviso de seguridad, CVE-2015-3456 llamado VENOM (Virtualized Environment Neglected Operations Manipulation). Nuestro equipo de seguridad ha revisado minuciosamente esta vulnerabilidad y queríamos dedicar un momento a tranquilizar a los clientes de Linode , ya que esta vulnerabilidad no afecta a ninguna parte de la infraestructura de Linode y no se requiere ninguna acción por su parte.
¿Qué es VENOM?
VENOM es una vulnerabilidad de seguridad que explota el código de la unidad de disquete virtual en QEMU que emula un controlador de disquete. En ciertas plataformas, este código puede ser explotado lo que permite a los atacantes escapar de una máquina virtual huésped y obtener acceso privilegiado al host.
¿Por qué no afecta a Linode ?
En XSA-133, que es el aviso de seguridad de Xen que proporciona detalles relacionados con esta vulnerabilidad, afirma que "Los sistemas que ejecutan sólo huéspedes x86 PV no son vulnerables". Esta vulnerabilidad se aplica a los huéspedes QEMU en KVM y XEN HVM Guests. Linode sólo utiliza huéspedes XEN PV que no están afectados por esta vulnerabilidad. Específicamente, los huéspedes XEN PV no requieren el uso de QEMU.
¿Qué tengo que hacer?
Afortunadamente, no es necesario hacer nada en este momento en su Linode. El equipo de seguridad de Linode supervisa constantemente todos los CVE y XSA para garantizar que nuestra infraestructura interna y los clientes de Linodesean lo más seguros posible.
Comentarios (6)
What about the KVM beta?
Hi Matt, Thanks for the question!
We have already patched the version of QEMU that is being used by KVM beta customers so it is also no longer an issue.
Best,
Lev
Good job, guys.
Thanks a lot James!
James, there are clearly too many of us on the internet.
Happy customer here. Just became aware of the issue. Came by to check relevance for Linode users. Left an even-happier customer. 😉