這幾天驚爆毒液漏洞，是虛擬化上一個(gè)非常嚴(yán)重的漏洞，影響全線的基于KVM/XEN的虛擬化產(chǎn)品。

為什么影響如此嚴(yán)重

因?yàn)镵VM/XEN的虛擬硬件采用QEMU模擬。CrowdStrike的Jason Geffner發(fā)現(xiàn)開源計(jì)算機(jī)仿真器QEMU中存在一個(gè)和虛擬軟盤控制器相關(guān)的安全漏洞，代號(hào)VENOM，CVE編號(hào)為CVE-2015-3456。利用此漏洞***者可以在有問題的虛擬機(jī)中進(jìn)行逃逸,并且可以在宿主機(jī)中獲得代碼執(zhí)行的權(quán)限，實(shí)際上是一個(gè)溢出漏洞。

虛擬機(jī)有沒有軟驅(qū)都會(huì)受影響

這個(gè)漏洞屬于首次發(fā)現(xiàn)，還沒有見到被利用的跡象。這段軟盤驅(qū)動(dòng)代碼可以追溯到2004年，打那起就沒人碰過。之所以還保留下來，是因?yàn)橛行┉h(huán)境下還需要虛擬軟盤的驅(qū)動(dòng)。任何虛擬機(jī)都有軟驅(qū)控制器支持，都有該漏洞。

如何處理漏洞

所幸的是各大廠商已經(jīng)提供了補(bǔ)丁，對(duì)用戶來說需要做的就是升級(jí)：

RedHat/CentOS上只需要執(zhí)行如下命令：

yum update qemu-kvm

然后虛擬機(jī)關(guān)機(jī)，在啟動(dòng)。

如果業(yè)務(wù)重要，不能關(guān)機(jī)，可以采用如下方案：

如果基于共享存儲(chǔ)，升級(jí)宿主機(jī)，然后在線遷移虛擬機(jī)。

如果是單機(jī)虛擬機(jī)，可以使用帶存儲(chǔ)的遷移做虛擬機(jī)的慢遷移。

對(duì)公有云和私有云的影響

目前大部分公有云都是基于KVM/XEN，漏洞對(duì)大部分公有云都用影響！

對(duì)私有云的影響要小很多，因?yàn)樗接性迫渴莾?nèi)部使用，風(fēng)險(xiǎn)可控。

參考資料

毒液漏洞官方網(wǎng)站

http://venom.crowdstrike.com/

RedHat官方毒液漏洞頁(yè)面

https://access.redhat.com/articles/1444903

360網(wǎng)站上關(guān)于毒液漏洞的詳細(xì)說明

http://blogs.360.cn/blog/venom-%E6%AF%92%E6%B6%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%EF%BC%88qemu-kvm-cve%E2%80%902015%E2%80%903456%EF%BC%89/

轉(zhuǎn)載于:https://blog.51cto.com/xiaoli110/1651942

總結(jié)

以上是生活随笔為你收集整理的毒液漏洞如何应对的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。