1
漏洞描述
8月24日,QEMU官方发布安全公告,修复了一处数组越界读写的漏洞,漏洞编号为 CVE-2020-14364。
CVE-2020-14364 漏洞可越界读写某一个堆之后 0xffffffff 的内容,根据该漏洞可以很轻松实现完整的虚拟机逃逸。
QEMU(quick emulator)是一款免费的可执行硬件虚拟化的(hardware virtualization)开源托管虚拟机(VMM)。拥有高速(配合KVM),跨平台的特性。可以通过与KVM(kernel-based virtual machine开源加速器)一起使用进而接近本地速度运行虚拟机(接近真实电脑的速度)。
2漏洞等级
严重
3
受影响的版本
Qemu 所有版本,触发该漏洞需要虚拟机至少连接有一个 usb 设备。
4
漏洞修复方案
各云厂商可参考以下补丁进行漏洞修复:
https://www.openwall.com/lists/oss-security/2020/08/24/3/1
参考链接
https://access.redhat.com/security/cve/cve-2020-14364
https://www.openwall.com/lists/oss-security/2020/08/24/2
https://www.openwall.com/lists/oss-security/2020/08/24/3
https://www.openwall.com/lists/oss-security/2020/08/24/3/1
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论