Se ha publicado el pasado 13 de Mayo de 2015 una vulnerabilidad grave en el controlador del Disco Floppy de QEMU, llamada VENOM, por la cual se puede permitir a un invitado a ejecutar código arbitrario e inutilizar el host físico en el cual se ejecuta (maquina contenedora de los VM o servidores virtuales) basado en KVM (Quemu).
El problema, es que aunque deshabilitemos el uso del Floppy Disk Drive para los servidores virtuales (VPS) como viene siendo por defecto por ejemplo en Proxmox, SolusVm, el problema no se soluciona.
Dependiendo del software que usemos, deberemos acudir a la actualización, que requerirá, el reinicio de los VPS, aunque no del host principal.
Contenidos
Actualización de sistema CentOs/Redhat
yum update qemu-kvm
Actualización Proxmox 3.X
En principio no tiene mayor riesgo, aunque como siempre deberemos tener preparadas nuestras copias de seguridad, o realizar una migración online si nuestra estructura lo permite.
apt-get update; apt-get upgrade
Sin embargo podemos encontrarnos con problemas porque apt-get no actualice el paquete pve-qemu-kvm
Reading state information... Done The following packages have been kept back: grub-common grub-pc grub-pc-bin grub2-common parted proxmox-ve-2.6.32 pve-manager pve-qemu-kvm
Puede ser que dependiendo de la versión, se trate de un problema de dependencias. Podemos bajar desde el repositorio de Proxmox el paquete pve-qemu-kvm_2.2-10 e instalarlo
wget http://download.proxmox.com/debian/dists/wheezy/pvetest/binary-amd64/pve-qemu-kvm_2.2-10_amd64.deb; dpkg -i pve-qemu-kvm_2.2-10_amd64.deb dpkg: dependency problems prevent configuration of pve-qemu-kvm: pve-qemu-kvm depends on numactl; however: Package numactl is not installed. dpkg: error processing pve-qemu-kvm (--install): dependency problems - leaving unconfigured
Ya sabiendo el problema podemos instalarlo con apt-get
apt-get install numactl Reading package lists... Done Building dependency tree Reading state information... Done The following NEW packages will be installed: numactl 0 upgraded, 1 newly installed, 0 to remove and 7 not upgraded. 1 not fully installed or removed. ... Setting up numactl (2.0.8~rc4-1) ... Setting up pve-qemu-kvm (2.2-10) ...
Verificacion para proxmox
pveversion -v | grep qemu-kvm pve-qemu-kvm: 2.2-10
Atención
Después de esto hay que reiniciar los VPS, ya que de lo contrario la vulnerabilidad persistiráComparte este artículo
Artículo Antiguo
Este artículo tiene más de 2 años. Es muy probable que su contenido este anticuado, aunque pueda ser de utilidad, es conveniente que revises otras informaciones al respecto. Si lo encuentras útil o crees que puede ser actualizado, deja tu comentario con la actualización para poder editarlo y que pueda ser útil a los demás.Comparte este articulo en