VENOM (仮想化環境放置操作) と呼ばれる新しいセキュリティ アドバイザリ CVE-2015-3456 が本日リリースされました。当社のセキュリティチームはこの脆弱性を徹底的にレビューし、Linode インフラにおいてはこの脆弱性が一切の影響を及ぼさないことをお客様にお伝えしたいと思います。 ユーザー側での操作は必要ありません。
VENOM(ヴェノム)とは何ですか?
ヴェノムはフロッピー ディスク コントローラをエミュレートする QEMU の仮想フロッピー ドライブ コードを悪用するセキュリティ上の脆弱性です。特定のプラットフォームでは、攻撃者が Virtual Machine ゲストから脱出してホストへの特権アクセスを取得できるこのコードが悪用される可能性があります。
なぜ Linode 影響を受けないのか?
この脆弱性に関連する詳細を提供する Xen セキュリティ アドバイザリであるXSA-133によると、"x86 PV ゲストのみを実行しているシステムは脆弱ではない。"」と記載されています。この脆弱性は、KVM および XEN HVM ゲストの QEMU ゲストを対象としています。 Linode はXEN PV ゲストのみを使用しますので、この脆弱性の影響を受けません。具体的には、XEN PVゲストはQEMUを使用する必要がありません。
私は何かする必要がありますか?
幸いなことに、この時点で何も行う必要はありません。 Linode セキュリティチームは常にすべてのCVEとXSAを監視し、社内 インフラ およびお客様の Linode を可能な限り安全な状態に保ちます。
コメント (6)
What about the KVM beta?
Hi Matt, Thanks for the question!
We have already patched the version of QEMU that is being used by KVM beta customers so it is also no longer an issue.
Best,
Lev
Good job, guys.
Thanks a lot James!
James, there are clearly too many of us on the internet.
Happy customer here. Just became aware of the issue. Came by to check relevance for Linode users. Left an even-happier customer. 😉