毒液漏洞(VENOM,CVE-2015-3456)一经曝光,整个虚拟化领域瞬间震动。这个漏洞的严重性有多高?它几乎波及所有基于KVM和XEN架构的虚拟化产品,堪称虚拟化安全的一次重大危机。
为什么影响如此严重
根本原因在于KVM和XEN的虚拟硬件都依赖QEMU进行模拟。安全研究员Jason Geffner发现,QEMU的虚拟软盘控制器中存在一个缓冲区溢出漏洞,代号VENOM(CVE-2015-3456)。攻击者利用这一溢出漏洞,可以从虚拟机内部“逃逸”出来,在宿主机上执行任意代码。换言之,有人能够一脚踹开你的虚拟机大门,然后在主机上肆意操控,实现虚拟机逃逸攻击。
虚拟机有没有软驱都会受影响
值得关注的是,这个漏洞属于首次被发现,目前尚未出现实际利用案例。那段软盘驱动代码的历史可追溯到2004年,此后基本无人修改。之所以保留这段代码,是因为部分老旧环境确实需要虚拟软盘驱动。关键在于,无论你的虚拟机是否挂载了软驱,只要虚拟机默认启用了软驱控制器支持(默认配置下均有),就会暴露在这个漏洞之下。

如何处理漏洞
好消息是,各大厂商已迅速发布安全补丁。修复操作并不复杂——核心就是升级。以Red Hat或CentOS系统为例,执行 yum update qemu-kvm 命令,然后先关闭虚拟机再重新启动生效。如果业务无法中断,也有替代方案:若使用共享存储,可先升级宿主机,再通过在线迁移将虚拟机转移到已修补的主机;若是单机环境,则可采用带存储的慢迁移方式完成升级。
对公有云和私有云的影响
目前绝大多数公有云平台都基于KVM或XEN架构,因此这个漏洞对公有云安全构成了巨大挑战。相比之下,私有云由于运行在内部网络,攻击面较小,风险相对可控,但仍需尽快修复以防范潜在威胁。
