Avançar para o conteúdo principal
BlogVisão geral das nuvensVENOM (CVE-2015-3456) Vulnerabilidade e Linode

VENOM (CVE-2015-3456) Vulnerabilidade e Linode

Uma nova consultoria de segurança, CVE-2015-3456 chamada VENOM (Virtualized Environment Neglected Operations Manipulation), foi lançada hoje. Nossa equipe de segurança analisou minuciosamente essa vulnerabilidade e quisemos aproveitar um momento para assegurar aos clientes da Linode que essa vulnerabilidade não afeta nenhuma parte da infraestrutura da Linode e que não é necessária nenhuma ação de sua parte.

O que é o VENOM?

VENOM é uma vulnerabilidade de segurança que explora o código de unidade de disquetes virtuais no QEMU que emula um controlador de disquetes. Em certas plataformas, este código pode ser explorado, o que permite aos atacantes escapar de um convidado da Máquina Virtual e obter acesso privilegiado ao anfitrião.

Por que é que Linode não é afetado?

No XSA-133, que é o Xen Security Advisory que fornece detalhes relacionados a esta vulnerabilidade, ele afirma que "Sistemas rodando apenas x86 PV convidados não são vulneráveis". Esta vulnerabilidade aplica-se aos convidados da QEMU na KVM e XEN HVM Guests. Linode só usa convidados XEN PV que não são afetados por esta vulnerabilidade. Especificamente, os convidados XEN PV não requerem o uso de QEMU.

O que eu preciso de fazer?

Felizmente, nada precisa de ser feito, neste momento, ao seu Linode. A equipe de segurança da Linode monitora constantemente todos os CVE's e XSA's para garantir que nossa infraestrutura interna e os Linode's dos clientes sejam os mais seguros possíveis.


Comentários (6)

  1. Author Photo

    What about the KVM beta?

  2. Author Photo

    Hi Matt, Thanks for the question!

    We have already patched the version of QEMU that is being used by KVM beta customers so it is also no longer an issue.

    Best,
    Lev

  3. Author Photo

    Good job, guys.

  4. Author Photo

    James, there are clearly too many of us on the internet.

  5. Author Photo

    Happy customer here. Just became aware of the issue. Came by to check relevance for Linode users. Left an even-happier customer. 😉

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *