QEMU-KVM虚拟机逃逸漏洞(CVE-2020-14364)风险通告

  • A+
所属分类:安全漏洞


1

漏洞描述


8月24日,QEMU官方发布安全公告,修复了一处数组越界读写的漏洞,漏洞编号为 CVE-2020-14364。

CVE-2020-14364 漏洞可越界读写某一个堆之后 0xffffffff 的内容,根据该漏洞可以很轻松实现完整的虚拟机逃逸。

QEMU(quick emulator)是一款免费的可执行硬件虚拟化的(hardware virtualization)开源托管虚拟机(VMM)。拥有高速(配合KVM),跨平台的特性。可以通过与KVM(kernel-based virtual machine开源加速器)一起使用进而接近本地速度运行虚拟机(接近真实电脑的速度)。


2漏洞等级


严重

3

受影响的版本


Qemu 所有版本,触发该漏洞需要虚拟机至少连接有一个 usb 设备。

4

漏洞修复方案


各云厂商可参考以下补丁进行漏洞修复:
https://www.openwall.com/lists/oss-security/2020/08/24/3/1


参考链接

https://access.redhat.com/security/cve/cve-2020-14364
https://www.openwall.com/lists/oss-security/2020/08/24/2
https://www.openwall.com/lists/oss-security/2020/08/24/3
https://www.openwall.com/lists/oss-security/2020/08/24/3/1

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: