VENOM Vulnerability CVE-2015-3456

Proxmox kvm Venom

Se ha publicado el pasado 13 de Mayo de 2015 una vulnerabilidad grave en el controlador del Disco Floppy de QEMU, llamada VENOM, por la cual se puede permitir a un invitado a ejecutar código arbitrario e inutilizar el host físico en el cual se ejecuta (maquina contenedora de los VM o servidores virtuales) basado en KVM (Quemu).

El problema, es que aunque deshabilitemos el uso del Floppy Disk Drive para los servidores virtuales (VPS) como viene siendo por defecto por ejemplo en Proxmox, SolusVm, el problema no se soluciona.

Dependiendo del software que usemos, deberemos acudir a la actualización, que requerirá, el reinicio de los VPS, aunque no del host principal.

Actualización de sistema CentOs/Redhat

yum update qemu-kvm

Actualización Proxmox 3.X

En principio no tiene mayor riesgo, aunque como siempre deberemos tener preparadas nuestras copias de seguridad, o realizar una migración online si nuestra estructura lo permite.

apt-get update; apt-get upgrade

Sin embargo podemos encontrarnos con problemas porque apt-get no actualice el paquete pve-qemu-kvm

Reading state information... Done
The following packages have been kept back:
  grub-common grub-pc grub-pc-bin grub2-common parted proxmox-ve-2.6.32 pve-manager pve-qemu-kvm

Puede ser que dependiendo de la versión, se trate de un problema de dependencias. Podemos bajar desde el repositorio de Proxmox el paquete pve-qemu-kvm_2.2-10 e instalarlo

wget http://download.proxmox.com/debian/dists/wheezy/pvetest/binary-amd64/pve-qemu-kvm_2.2-10_amd64.deb; dpkg -i pve-qemu-kvm_2.2-10_amd64.deb
dpkg: dependency problems prevent configuration of pve-qemu-kvm:
 pve-qemu-kvm depends on numactl; however:
  Package numactl is not installed.

dpkg: error processing pve-qemu-kvm (--install):
 dependency problems - leaving unconfigured

Ya sabiendo el problema podemos instalarlo con apt-get

apt-get install numactl
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
  numactl
0 upgraded, 1 newly installed, 0 to remove and 7 not upgraded.
1 not fully installed or removed.
...
Setting up numactl (2.0.8~rc4-1) ...
Setting up pve-qemu-kvm (2.2-10) ...

Verificacion para proxmox

pveversion -v | grep qemu-kvm
pve-qemu-kvm: 2.2-10
Atención
Después de esto hay que reiniciar los VPS, ya que de lo contrario la vulnerabilidad persistirá

Comparte este artículo

Artículo Antiguo
Este artículo tiene más de 2 años. Es muy probable que su contenido este anticuado, aunque pueda ser de utilidad, es conveniente que revises otras informaciones al respecto. Si lo encuentras útil o crees que puede ser actualizado, deja tu comentario con la actualización para poder editarlo y que pueda ser útil a los demás.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

To create code blocks or other preformatted text, indent by four spaces:

    This will be displayed in a monospaced font. The first four 
    spaces will be stripped off, but all other whitespace
    will be preserved.
    
    Markdown is turned off in code blocks:
     [This is not a link](http://example.com)

To create not a block, but an inline code span, use backticks:

Here is some inline `code`.

For more help see http://daringfireball.net/projects/markdown/syntax