毒液漏洞如何應對

這幾天驚爆毒液漏洞，是虛擬化上一個很是嚴重的漏洞，影響全線的基於KVM/XEN的虛擬化產品。

爲何影響如此嚴重

由於KVM/XEN的虛擬硬件採用QEMU模擬。CrowdStrike的Jason Geffner發現開源計算機仿真器QEMU中存在一個和虛擬軟盤控制器相關的安全漏洞，代號VENOM，CVE編號爲CVE-2015-3456。利用此漏洞***者能夠在有問題的虛擬機中進行逃逸,而且能夠在宿主機中得到代碼執行的權限，其實是一個溢出漏洞。

虛擬機有沒有軟驅都會受影響

這個漏洞屬於首次發現，尚未見到被利用的跡象。這段軟盤驅動代碼能夠追溯到2004年，打那起就沒人碰過。之因此還保留下來，是由於有些環境下還須要虛擬軟盤的驅動。任何虛擬機都有軟驅控制器支持，都有該漏洞。

如何處理漏洞

所幸的是各大廠商已經提供了補丁，對用戶來講須要作的就是升級：

RedHat/CentOS上只須要執行以下命令：

yum update qemu-kvm

而後虛擬機關機，在啓動。

若是業務重要，不能關機，能夠採用以下方案：

若是基於共享存儲，升級宿主機，而後在線遷移虛擬機。

若是是單機虛擬機，可使用帶存儲的遷移作虛擬機的慢遷移。

對公有云和私有云的影響

目前大部分公有云都是基於KVM/XEN，漏洞對大部分公有云都用影響！

對私有云的影響要小不少，由於私有云所有是內部使用，風險可控。

參考資料

毒液漏洞官方網站

http://venom.crowdstrike.com/

RedHat官方毒液漏洞頁面

https://access.redhat.com/articles/1444903

360網站上關於毒液漏洞的詳細說明

http://blogs.360.cn/blog/venom-%E6%AF%92%E6%B6%B2%E6%BC%8F%E6%B4%9E%E5%88%86%E6%9E%90%EF%BC%88qemu-kvm-cve%E2%80%902015%E2%80%903456%EF%BC%89/