记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

Qemu虚拟机逃逸漏洞 (CVE-2020-14364) 风险提示

2020-08-25 17:21

ISC2020第八届互联网安全大会上,QEMU-KVM虚拟机的0day漏洞(虚拟机逃逸)被公开。该漏洞可越界读写某一个堆之后0xffffffff(4 GB内存)的内容,可实现完整的虚拟机逃逸。阿里云已于2019年12月完成该漏洞的修复,云上主机已不受该漏洞影响。

2020年8月24日,qemu 官方更新了安全补丁修复该漏洞,漏洞编号:CVE-2020-14364,https://xenbits.xen.org/xsa/advisory-335.html

漏洞详情

2019年11月17日天府杯国际网络安全大赛,第一次暴露出QEMU-KVM虚拟机的0day安全漏洞。2020年08月13日,ISC2020第八届互联网安全大会上,该漏洞被公开。该漏洞可越界读写某一个堆之后0xffffffff(4 GB内存)的内容,可实现完整的虚拟机逃逸,最终在宿主机中执行任意代码,造成较为严重的信息泄露。经阿里云工程师分析后判定,该漏洞是 Qemu 历史上最严重的虚拟机逃逸漏洞,影响到绝大部分使用 OpenStack 的云厂商。

解决方法

阿里云已于2019年12月完成该漏洞的修复,云上主机无需做修复操作。如果您有相关需求或反馈,请提交工单联系阿里云。

通用修补建议

及时更新官方修复补丁,补丁地址:

XSA-335 - Xen Security Advisories

Red Hat:

Red Hat Customer Portal

Debain:

Debain CVE-2020-14364

相关链接

https://www.openwall.com/lists/oss-security/2020/08/24/3/1

声明:本文来自阿里云先知,版权归作者所有。


知识来源: https://www.secrss.com/articles/24999

阅读:60675 | 评论:0 | 标签:漏洞 CVE

想收藏或者和大家分享这篇好文章→复制链接地址

“Qemu虚拟机逃逸漏洞 (CVE-2020-14364) 风险提示”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

❤人人都能成为掌握黑客技术的英雄⛄️

ADS

标签云