Un nouvel avis de sécurité, CVE-2015-3456 appelé VENOM (Virtualized Environment Neglected Operations Manipulation), a été publié aujourd'hui. Notre équipe de sécurité a examiné cette vulnérabilité de manière approfondie et nous voulions prendre un moment pour rassurer les clients Linode que cette vulnérabilité n'affecte aucune partie de l'infrastructure Linode et qu'aucune action n'est requise de votre part.
Qu'est-ce que VENOM ?
VENOM est une vulnérabilité de sécurité qui exploite le code du lecteur de disquette virtuel dans QEMU qui émule un contrôleur de disquette. Sur certaines plateformes, ce code peut être exploité, ce qui permet aux attaquants de s'échapper d'une machine virtuelle invitée et d'obtenir un accès privilégié à l'hôte.
Pourquoi Linode n'est-il pas concerné ?
Dans le XSA-133, l'avis de sécurité de Xen qui fournit des détails sur cette vulnérabilité, il est indiqué que "les systèmes fonctionnant uniquement avec des invités PV x86 ne sont pas vulnérables". Cette vulnérabilité s'applique aux invités QEMU sur KVM et XEN HVM Guests. Linode n'utilise que les invités XEN PV qui ne sont pas concernés par cette vulnérabilité. En particulier, les invités XEN PV ne nécessitent pas l'utilisation de QEMU.
Que dois-je faire ?
Heureusement, rien ne doit être fait pour le moment sur votre Linode. The Linode Security Team surveille constamment tous les CVE et XSA pour s'assurer que notre infrastructure interne et les Linode de nos clients sont aussi sécurisés que possible.
Commentaires (6)
What about the KVM beta?
Hi Matt, Thanks for the question!
We have already patched the version of QEMU that is being used by KVM beta customers so it is also no longer an issue.
Best,
Lev
Good job, guys.
Thanks a lot James!
James, there are clearly too many of us on the internet.
Happy customer here. Just became aware of the issue. Came by to check relevance for Linode users. Left an even-happier customer. 😉