パブリッククラウドサービスに影響。仮想化環境に大きな脆弱性が発見される。開発ベンダーも要注意!


@ITが、重要な脆弱性を報じています。

仮想環境の分離が意味をなさなくなる脆弱性「VENOM」

2015年5月13日、XenやKVMなどの仮想化プラットフォームに利用されているオープンソースのエミュレーター「QEMU」に、仮想マシンを抜け出すことが可能な脆弱性(CVE-2015-3456)が発見された。悪用されれば、同一のハイパーバイザー上に同居している他の仮想マシンやホストOSにアクセスされ、任意のコードを実行される恐れがある。

脆弱性の影響はパブリッククラウドサービスに及び、さくらインターネットが緊急メンテナンスに入るなど、影響が広がっています。

【重要】【さくらのVPS】「VENOM」脆弱性対応に伴うメンテナンス実施のお知らせ

GMOインターネットなども対応を表明していますが、サービス業者によっては情報を開示していないため、自社のサービスについて仮想環境を利用しているベンダーも、問い合わせが必要かもしれません。

すでに脆弱性情報データベースのosvdb.orgにおいては、以下のような注意喚起情報が上がっています。

1220722015-05-13QEMU hw/block/fdc.c Emulated Floppy Disk Drive Handling Local Buffer Overflow (Venom)

QEMU contains an overflow condition in hw/block/fdc.c that is triggered when handling certain commands e.g. FD_CMD_READ_ID and FD_CMD_DRIVE_SPECIFICATION_COMMAND. This may allow a local attacker with a guest environment to cause a buffer overflow and potentially execute arbitrary code with privileges of the QEMU process on the host.

ベンダーがパッチを公表しておりますので、対応が必要であればベンダーのページにアクセスし、情報を取得してください。

ベンダーのURLはこちら

 


関連記事一覧

コメント

  • コメント (0)

  • トラックバックは利用できません。

  1. この記事へのコメントはありません。

we love develop
アプリやシステムの開発を通じて、お客様のビジネスを成長させることが私たちのビジネスです。お気軽にお問い合わせください。
 お問い合せ

お電話でのお問い合わせはこちらから
TEL:03-5297-2871

メールマガジンの登録

キャパでは誰かに話したくなるようなIT小ネタを、週に一回メルマガで配信しています。
ぜひ購読してみませんか?
 購読する

ホワイトペーパーの入手

ITブログ月間20万PV達成!自社オウンドメディアの運用ノウハウを無料公開しています。
 ダウンロード

記事カテゴリ記事カテゴリ

月別投稿記事

PAGE TOP