パスワードを忘れた? アカウント作成
12065142 story
セキュリティ

QEMUの仮想フロッピーディスクコントローラに脆弱性、仮想マシン内からQEMUプロセスをクラッシュ可能 13

ストーリー by hylom
これは痛い 部門より
insiderman 曰く、

QEMUの仮想フロッピーディスクコントローラ(FDC)に脆弱性が発見された。QEMUの仮想FDCはKVMやXenによる多くの仮想化システムで採用されており、仮想マシンをクラッシュさせたり、ホスト上でそのQEMUプロセスの権限で任意のコードを実行させられる脆弱性があるという(Red Hatのナレッジ記事CVE-2015-3456ITmedia)。

この脆弱性は「VENOM」と呼ばれており、XenやKVM環境に対し影響があるとのことで、VPS事業者なども対応に追われている模様。すでにRHELやDebianなどでは問題を修正したパッケージがリリースされている(DebianのSecurity Tracker)。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年05月15日 13時51分 (#2814835)

    OpenSSLが心臓やられたときTheo先生がお怒りでした。使っていない機能だから穴があっても見つからないんだと。もういいんじゃないですか?フロッピーのサポートは…自作OSとかでまだ使ってます?

    • by Anonymous Coward on 2015年05月15日 14時44分 (#2814870)

      フロッピーがないと曲が鳴らないんだよ!

      親コメント
    • by Anonymous Coward

      フロッピーは無いと困る

    • by Anonymous Coward

      「誰も使っていない拡張機能」と「みんなが使っていたレガシー機能」を同一に語ることはできないと思います。

    • by Anonymous Coward

      エミュレータの使用目的の一つには、現役のハードウェア上で過去のレガシーなソフトウェア実行環境を提供するというのもあると思うんだけど、そういう目的のためにはサポートが必要。

      レガシー環境とは関係のない仮想化のためには確かに不要だけど、エミュレータなんだから、必要のないハードウェアのエミュレーションはコンフィギュレーションで切っておけばいいんじゃないかと。

    • by Anonymous Coward

      使ってないけど
      テープも未だに対応してるのにフロッピー切るのはどうかと思うけど
      ディスクはあるけどドライブがないんだよな

  • by Anonymous Coward on 2015年05月15日 14時44分 (#2814869)

    タイトルについて。
    クラッシュさせられるってことよりもコード実行の方がよほど大きな脅威なので、そちらを書くべきだったのでは。

    • by Anonymous Coward

      影響を小さく見せようとする、OSS信者の作戦だな
      (冗談です)

    • by Anonymous Coward

      まあ、今のところ
          クラッシュ ⇒ 実証コード配布中
          コード実行 ⇒ 理論的には可能なはずだが誰も成功していない(少なくとも成功報告はない)
      という状況でどちらで書くべきかは難しい。 FUD してもしょうがないし

    • by Anonymous Coward

      私はぱっと見、仮想ゲスト内で済むものかと思った。
      とりあえずFD使わなきゃいいんじゃね?と。

      でもよくみるとVMホストをゲストから落とせる。
      記述まちがってはないけど、、順序逆じゃないかなぁ。。

  • # shutdown -h now

    • by Anonymous Coward

      何が言いたいの、これ。

typodupeerror

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

読み込み中...