记录黑客技术中优秀的内容,传播黑客文化,分享黑客技术精华

QEMU-KVM虚拟机逃逸漏洞(CVE-2020-14364)风险通告

2020-08-26 08:44


1
漏洞描述


8月24日,QEMU官方发布安全公告,修复了一处数组越界读写的漏洞,漏洞编号为 CVE-2020-14364。

CVE-2020-14364 漏洞可越界读写某一个堆之后 0xffffffff 的内容,根据该漏洞可以很轻松实现完整的虚拟机逃逸。

QEMU(quick emulator)是一款免费的可执行硬件虚拟化的(hardware virtualization)开源托管虚拟机(VMM)。拥有高速(配合KVM),跨平台的特性。可以通过与KVM(kernel-based virtual machine开源加速器)一起使用进而接近本地速度运行虚拟机(接近真实电脑的速度)。


2漏洞等级


严重

3
受影响的版本


Qemu 所有版本,触发该漏洞需要虚拟机至少连接有一个 usb 设备。

4
漏洞修复方案


各云厂商可参考以下补丁进行漏洞修复:
https://www.openwall.com/lists/oss-security/2020/08/24/3/1


参考链接

https://access.redhat.com/security/cve/cve-2020-14364
https://www.openwall.com/lists/oss-security/2020/08/24/2
https://www.openwall.com/lists/oss-security/2020/08/24/3
https://www.openwall.com/lists/oss-security/2020/08/24/3/1


知识来源: https://mp.weixin.qq.com/s?__biz=MzI5ODk3OTM1Ng==&mid=2247496075&idx=2&sn=9625cf820b83f6f7063988f6ea0050c4&chksm=ec9f28f8dbe8a1ee4bfe2974f4bd027198b7b5a83ed0c90867fcf19681ab6b437c23f548b265&scene=27&k

阅读:37691 | 评论:0 | 标签:漏洞 CVE

想收藏或者和大家分享这篇好文章→复制链接地址

“QEMU-KVM虚拟机逃逸漏洞(CVE-2020-14364)风险通告”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

ADS

标签云