Uma nova consultoria de segurança, CVE-2015-3456 chamada VENOM (Virtualized Environment Neglected Operations Manipulation), foi lançada hoje. Nossa Equipe de Segurança analisou minuciosamente esta vulnerabilidade e quisemos tomar um momento para assegurar aos clientes da Linode que esta vulnerabilidade não afeta nenhuma parte da infra-estrutura da Linode e que nenhuma ação é necessária de sua parte.
O que é VENOM?
O VENOM é uma vulnerabilidade de segurança que explora o código de unidade de disquete virtual no QEMU que emula um controlador de disquetes. Em certas plataformas, este código pode ser explorado, o que permite aos atacantes escapar de um convidado da Máquina Virtual e obter acesso privilegiado ao host.
Por que a Linode não é afetada?
No XSA-133, que é o Xen Conselho de Segurança que fornece detalhes relacionados a esta vulnerabilidade, ele afirma que "Sistemas rodando apenas x86 PV convidados não são vulneráveis". Esta vulnerabilidade se aplica aos convidados da QEMU em KVM e XEN HVM Guests. Linode utiliza apenas os convidados XEN PV que não são afetados por esta vulnerabilidade. Especificamente, XEN convidados FV não requerem o uso da QEMU.
O que eu preciso fazer?
Felizmente, nada precisa ser feito neste momento com sua Linode. The Linode Security Team monitora constantemente todos os CVE's e XSA's para garantir que nossa infra-estrutura interna e a dos clientes Linode's sejam tão seguras quanto possível.
Comentários (6)
What about the KVM beta?
Hi Matt, Thanks for the question!
We have already patched the version of QEMU that is being used by KVM beta customers so it is also no longer an issue.
Best,
Lev
Good job, guys.
Thanks a lot James!
James, there are clearly too many of us on the internet.
Happy customer here. Just became aware of the issue. Came by to check relevance for Linode users. Left an even-happier customer. 😉