Vai al contenuto principale
BlogPanoramica sul cloudVulnerabilità VENOM (CVE-2015-3456) e Linode

Vulnerabilità VENOM (CVE-2015-3456) e Linode

Oggi è stato rilasciato un nuovo avviso di sicurezza, CVE-2015-3456 chiamato VENOM (Virtualized Environment Neglected Operations Manipulation). Il nostro team di sicurezza ha esaminato a fondo questa vulnerabilità e abbiamo voluto prendere un momento per rassicurare i clienti Linode che questa vulnerabilità non riguarda alcuna parte dell'infrastruttura Linode e non è necessaria alcuna azione da parte vostra.

Che cos'è il VENOM?

VENOM è una vulnerabilità di sicurezza che sfrutta il codice dell'unità floppy virtuale in QEMU che emula un controller di disco floppy. Su alcune piattaforme, questo codice può essere sfruttato e consente agli aggressori di uscire da una macchina virtuale guest e ottenere un accesso privilegiato all'host.

Perché Linode non è interessato?

In XSA-133, che è l'avviso di sicurezza di Xen che fornisce i dettagli relativi a questa vulnerabilità, si afferma che "I sistemi che eseguono solo guest PV x86 non sono vulnerabili". Questa vulnerabilità si applica ai guest QEMU su KVM e XEN HVM. Linode utilizza solo guest PV XEN che non sono interessati da questa vulnerabilità. In particolare, gli ospiti PV XEN non richiedono l'uso di QEMU.

Cosa devo fare?

Fortunatamente, in questo momento non è necessario fare nulla per il vostro Linode. The Linode Security Team monitora costantemente tutti i CVE e gli XSA per garantire che la nostra infrastruttura interna e i Linode dei clienti siano il più sicuri possibile.


Commenti (6)

  1. Author Photo

    What about the KVM beta?

  2. Author Photo

    Hi Matt, Thanks for the question!

    We have already patched the version of QEMU that is being used by KVM beta customers so it is also no longer an issue.

    Best,
    Lev

  3. Author Photo

    Good job, guys.

  4. Author Photo

    James, there are clearly too many of us on the internet.

  5. Author Photo

    Happy customer here. Just became aware of the issue. Came by to check relevance for Linode users. Left an even-happier customer. 😉

Lascia una risposta

Il vostro indirizzo e-mail non sarà pubblicato. I campi obbligatori sono contrassegnati da *