piyolog

QEMU 仮想フロッピードライブコントローラの脆弱性（通称：VENOM） CVE-2015-3456についてまとめてみた。

脆弱性まとめ | 22:43 |

2015年5月13日にCrowdStrike社が仮想フロッピーディスクコントローラの脆弱性情報を公開しました。ここでは関連情報をまとめます。

脆弱性概要

脆弱性の概要情報は次の通り。

愛称	VENOM VIRTUALIZED ENVIRONMENT NEGLECTED OPERATIONS MANIPULATIONの略
アイコン	あり
CVE	CVE-2015-3456
発見者名	Jason Geffner氏 CrowdStrike シニアセキュリティリサーチャー
専用サイト	あり http://venom.crowdstrike.com/

QEMUの仮想フロッピードライブコントローラのコードに存在するバッファオーバーフローの脆弱性。この脆弱性を悪用された場合、攻撃者が仮想マシンから抜け出し、ホスト側のシステムに対してアクセス・任意のコード実行が可能となる恐れがある。

タイムライン

日時	出来事
2015年4月30日	CrowdStrikeが各ベンダのセキュリティ関係メーリングリストにVENOMに関する情報提供
2015年5月13日	パッチリリースを受け、CrowdStrikeが脆弱性情報を公開。

脆弱性評価

定量評価 (CVSS)

発信元	CVSS値
Redhat	7.4

評価詳細

評価尺度	Redhat
攻撃元区分	隣接
攻撃条件の複雑さ	中
攻撃前認証要否	単一
機密性への影響	全面的
完全性への影響	全面的
可用性への影響	全面的

定性的評価

Redhat	Important

『VENOMは近隣の家すべてに押し入るような攻撃』←ただしいったん同じアパートに部屋を借りないといけない、という条件はつきますね / “新たな脆弱性「VENOM」をセキュリティ企業が報告--広範な仮想プラットフォームに影響 - Z…” http://t.co/24TwHxFGfr

— 徳丸　浩 (@ockeghem) 2015, 5月 14

影響対象

影響を受ける製品・ベンダ

ベンダ・製品名	リリース
Xen	Xen Security Advisory CVE-2015-3456 / XSA-133 version 2
Oracle Virtualbox	5/14時点で関連リリース無し。ZDnetのインタビューに修正版リリースについてコメントを行っている。
Redhat	VENOM: QEMU 脆弱性 (CVE-2015-3456)
Debian	DSA-3259-1
Ubuntu	USN-2608-1: QEMU vulnerabilities Ubuntu Security Update on VENOM (CVE-2015-3456)
SUSE	qemu/KVM/Xen: floppy driver allows VM escape (”VENOM” vulnerability, CVE-2015-3456)
FireEye	(PDF)VULNERABILITY SUMMARY
Citrix	Citrix Security Advisory for CVE-2015-3456
F5	SOL16620: QEMU vulnerability CVE-2015-3456

影響対象外の製品

次の製品はVENOMの影響を受けないとCrowdStrikeが報告している。

• VMware
• Bochs
• Microsoft Hyper-V

次の製品は影響を受けないと報告されている。

• Softlayer Update - VENOM Vulnerability

クラウド事業者への影響

事業者名	影響有無	リリース
DigitalOcean	影響あり	Update on CVE-2015-3456, aka the VENOM Security Vulnerability
rackspace	影響あり	IMPORTANT NOTICE – QEMU ”VENOM” Vulnerability
UpCloud	影響あり?	ALL SERVICE AREAS: VENOM (CVE-2015-3456) vulnerability
さくらインターネット	影響なし	【重要】VENOM（KVM・XenなどのQEMUの脆弱性）に関する対策について（18:50更新）
GMOインターネット(Conoha)	影響確認中 (5/14時点)	QEMUの脆弱性 CVE-2015-3456(VENOM)に関するお知らせ
GMOインターネット(VPS)	影響確認中 (5/14時点)	脆弱性VENOM（CVE-2015-3456）に関するお知らせ
GMOインターネット(GMOアプリクラウド)	影響確認中 (5/14時点)	QEMUの脆弱性 CVE-2015-3456(VENOM)に関するお知らせ
IDCフロンティア	影響なし	VENOM(CVE-2015-3456)に関する対応について
RCMS	影響なし	［影響なし］CVE-2015-3456の脆弱性に関して
Amazon(AWS)	影響なし	XSA Security Advisory CVE-2015-3456
Linode	影響なし	VENOM (CVE-2015-3456) Vulnerability and Linode

対策

• 各ベンダが公開しているパッチを適用する。

回避策

• Redhat/Ubuntuでセキュリティフレームワークを利用することで回避出来る可能性あり。詳しくはnekouriさんの記事参照のこと。
• QEMU自体に起因する脆弱性であるため、仮想環境で仮想フロッピードライブを接続しているかどうかは関係ない。

検証コード

次の検証コードが確認されている。（piyokangoはPoCは未検証です。）

#include <sys/io.h>

#define FIFO 0x3f5

int main() {

int i;

iopl(3);

outb(0x0a,0x3f5); /* READ ID */

for (i=0;i<10000000;i++)

outb(0x42,0x3f5); /* push */

}

https://marc.info/?l=oss-security&m=143155206320935&w=2

QEMUの修正パッチ

• fdc: force the fifo access to be in bounds of the allocated buffer

関連リンク

• VENOM, don’t get bitten. | Red Hat Security
• Errata Security: Some brief technical notes on Venom
• How Poisonous is VENOM (CVE-2015-3456) to your Virtual Environments? | Rapid7 Community
• Extremely serious virtual machine bug threatens cloud providers everywhere | Ars Technica

主要メディア報道情報

N/A

更新履歴

• 2015年5月14日 PM 新規作成

ツイートする