QEMU-ohjelmiston haavoittuvuudet uhkaavat virtuaalipalvelimien tietoturvaa

QEMU VGA -komponentista, on löytynyt kaksi haavoittuvuutta, jotka voivat mahdollistaa hyökkääjän koodin suorittamisen virtuaalikoneen ulkopuolella virtualisointialustassa sekä palvelunestotilan aiheuttamisen. Haavoittuvuuteen on julkaistu päivitys sitä käyttäviin QEMU-, KVM-, ja Xen-virtualisointialustoihin.

Haavoittuvuus CVE-2016-3710 voi mahdollistaa mielivaltaisen ohjelmakoodin suorittamisen X86-alustaisen virtuaalipalvelimen ulkopuolella QEMU-prosessin käyttäjäoikeuksin.

Haavoittuvuus CVE-2016-3712 muistin ylivuotohaavoittuvuus voi mahdollistaa virtuaalipalvelimelle palvelunestotilan.

Haavoittuvuuksien hyväksikäyttö edellytää, että virtuaalikoneella on käytössä "stdvga"-näytönohjainajuri. Oletuksena käytössä oleva "cirrus"-näytönohjainajuri ei ole haavoittuva. Lisäksi haavoittuvuuden hyväksikäyttö vaatii virtuaalipalvelimella pääkäyttäjän oikeudet.

  • Palvelimet ja palvelinsovellukset
  • Työasemat ja loppukäyttäjäsovellukset
  • Verkon aktiivilaitteet
  • Matkaviestinjärjestelmät
  • Sulautetut järjestelmät
  • Muut

Kohde

  • Palvelimet ja palvelinsovellukset
Lisätietoa +

Hyökkäystapa

  • Paikallisesti
Lisätietoja hyökkäystavasta +

Hyväksikäyttö

  • Komentojen mielivaltainen suorittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen
  • Palvelunestohyökkäys
  • Suojauksen ohittaminen
Lisätietoja hyväksikäytöstä +

Ratkaisu

  • Korjaava ohjelmistopäivitys
  • Ongelman rajoittaminen
Lisätietoja ratkaisusta +

Haavoittuvat ohjelmistot:

QEMU:n VGA-komponenttia käyttävät tuotteet mm.

  • Xen
  • KVM
  • QEMU Client

Ratkaisu- ja rajoitusmahdollisuudet:

Virtualisointialustojen ylläpitäjien tulee päivittää ohjelmistot ja käyttöjärjestelmät valmistajan ohjeiden mukaisesti. Xen- ja KVM-päivitykset ovat saatavilla myös useiden Linux-jakelujen mukana (mm. RedHat, SuSE, Debian, Ubuntu).

Päivitysten asentamisen jälkeen virtuaalikoneet tulee vielä sammuttaa ja käynnistää uudelleen. Vaihtoehtoisesti virtuaalikone on voidaan siirtää toiselle virtualisointialustalle ja palauttaa päivitysten jälkeen. Virtuaalikoneesta käsin tehty uudelleenkäynnistys ei ole riittävä päivitysten ottamiseksi käyttöön.

Mikäli päivityksiä ei ole saatavilla omalle virtualisointiympäristölle, voi haavoittuvuuden hyväksikäytön estää vaihtamalla virtuaalipalvelimen käyttämän näytönohjaimen ajurin ei haavoittuvaan versioon (cirrus).

Xen-ympäristössä CVE-2016-3710 haavoittuvuuden vaikutusta voi rajoittaa ajamalla virtuaalipalvelinta rajoitetussa stubdom-tilassa.

Lisätietoa:

Päivityshistoria

Asiasanat: Tietoturva , CERT , Haavoittuvuudet

LinkedIn Print

Yhteystiedot

logo

Viestintävirasto

Kyberturvallisuuskeskus

PL 313, 00181 Helsinki


Mediayhteydenotot puhelimitse 0295 390 248