ISC2020第八屆互連網安全大會上,QEMU-KVM虛擬機器的0day漏洞(虛擬機器逃逸)被公開。該漏洞可越界讀寫某一個堆之後0xffffffff(4 GB記憶體)的內容,可實現完整的虛擬機器逃逸。阿里雲已對該漏洞進行了修複。
漏洞資訊
2019年11月17日天府杯國際網路安全大賽,第一次暴露出QEMU-KVM虛擬機器的0day安全性漏洞。2020年08月13日,ISC2020第八屆互連網安全大會上,該漏洞被公開。該漏洞可越界讀寫某一個堆之後0xffffffff(4 GB記憶體)的內容,可實現完整的虛擬機器逃逸,最終在宿主機中執行任意代碼,造成較為嚴重的資訊泄露。截止目前QEMU官方並未提供任何修複補丁。
解決方案
阿里雲已於2019年12月完成該漏洞的修複,您無需做修複操作。
公告方
阿里雲計算有限公司