第8回インターネットセキュリティ会議2020 (ISC 2020) で、QEMU/KVM VMエスケープのゼロデイ脆弱性が公表されました。 VMエスケープのゼロデイ脆弱性を利用して、ヒープから最大0xffffffff (サイズは4 GB) の不正データを読み書きし、完全なVMエスケープを有効にすることができます。 Alibaba Cloudはこれらの脆弱性を修正しました。
検出された脆弱性
QEMU /KVMVMエスケープのゼロデイ脆弱性は、2019年11月17日のTianfuカップ2019国際サイバーセキュリティコンテストで最初に公開されました。 8月13日に開催されたISC 2020で、脆弱性が公表されました。 VMエスケープのゼロデイ脆弱性を利用して、ヒープから最大0xffffffff (サイズは4 GB) の不正データを読み書きし、完全なVMエスケープを有効にすることができます。 その後、コードがホストで実行され、深刻な情報漏洩を引き起こす可能性があります。 これまでのところ、QEMUは脆弱性の公式パッチを提供していません。
対応策
Alibaba Cloudは、12月2019日現在、これらの脆弱性を修正しています。 脆弱性を修正するための操作を実行する必要はありません。
ご質問やご意見がある場合は、チケットを起票し、Alibaba Cloudにお問い合わせください。
発表元
Alibaba Cloud Computing Co., Ltd.