Abo
  • Services:

Virtualisierung: Venom-Lücke in Diskettentreiber von KVM und Xen

Ein Fehler im Diskettentreiber von QEMU kann in verschiedenen Virtualisierungslösungen zu einer Sicherheitslücke führen. Sie lässt sich selbst dann ausnutzen, wenn überhaupt kein virtuelles Diskettenlaufwerk genutzt wird.

Artikel veröffentlicht am , Hanno Böck
Zwar nutzt kaum noch jemand Disketten, der Code zur Emulation von Diskettencontrollern kann aber immer noch Sicherheitsrisiken bergen.
Zwar nutzt kaum noch jemand Disketten, der Code zur Emulation von Diskettencontrollern kann aber immer noch Sicherheitsrisiken bergen. (Bild: Floppy/Wikimedia Commons)

In der Emulationssoftware QEMU wurde ein Buffer Overflow gefunden, der für verschiedene Virtualisierungslösungen ein Sicherheitsrisiko darstellen kann. Der Fehler befindet sich im Code zur Emulation von Diskettenlaufwerken. Die Programme KVM und Xen nutzen beide den Emulationscode von QEMU und sind somit von der Lücke betroffen.

Stellenmarkt
  1. Dataport, Verschiedene Standorte
  2. Computacenter AG & Co. oHG, verschiedene Standorte

Entdeckt wurde der Fehler von Jason Geffner, einem Mitarbeiter der IT-Sicherheitsfirma Crowdstrike. Die Lücke hat den Namen Venom erhalten, die Abkürzung steht für Virtualized Environment Neglected Operations Manipulation. In der National Vulnerability Database (NVD) wird die Lücke unter der Id CVE-2015-3456 geführt.

Gast-System kann Code auf dem Host ausführen

Die Lücke kann dazu genutzt werden, aus einem virtuellen System auszubrechen und Code auf dem Host-System auszuführen. Selbst virtuelle Maschinen, in denen überhaupt kein virtuelles Diskettenlaufwerk konfiguriert ist, sind von der Lücke betroffen. Ein zweiter von der Sicherheitslücke unabhängiger Fehler sorgt dafür, dass auch dann ein Zugriff auf den virtuellen Diskettencontroller möglich ist.

Die Webseite zur Lücke liefert nur wenige Details. Ein Blog-Eintrag von Red Hat gibt einige weitere Informationen. Demnach kann es beim Schreibzugriff auf den FIFO-Buffer des Diskettencontrollers in bestimmten Situationen zu einem Buffer Overflow kommen, und ein Angreifer kann Speicherbereiche überschreiben. Red Hat geht davon aus, dass eine Codeausführung auf dem Host-System möglich ist, es gibt allerdings noch keinen öffentlich bekannten Exploit.

Xen hat ein Security Advisory zu der Lücke herausgegeben, darin sind auch Patches verlinkt. Für QEMU/KVM gibt es ebenfalls einen Patch. Amazon hat in einer Meldung bekanntgegeben, dass für Kunden der Amazon Web Services kein Risiko bestehe. Ob Amazon vorab über die Lücke informiert wurde oder ob deren Services aufgrund der Konfiguration der virtuellen Maschinen nicht betroffen sind, geht aus der Meldung nicht hervor.

Nur für wenige Nutzer kritisch

Wirklich kritisch ist VENOM nur für wenige Nutzer. Lediglich wenn auf einem Gastsystem nicht vertrauenswürdige Nutzer direkten Zugriff auf den Diskettencontroller haben, besteht ein Problem. Unter Linux ist das in der Regel nur der Root-Nutzer, unter Windows-Systemen haben jedoch auch gewöhnliche Nutzer meist diese Möglichkeit. Betroffen sind von Venom in erster Linie Webhoster, die ihren Kunden virtuelle Server anbieten.

Nachtrag vom 13. Mai 2015, 18:42 Uhr

Wir hatten ursprünglich geschrieben, dass für QEMU noch kein Patch bereitstehe. Das war falsch, wir haben jetzt den Patch im Text verlinkt.



Anzeige
Top-Angebote
  1. 219,00€
  2. 19,99€
  3. (u. a. 1 TB 57,99€, 2 TB 76,99€)
  4. 333,00€ (Bestpreis!)

TheUnichi 20. Mai 2015

Ahhhhh ja, richtig, die meistgenutzten Lösungen im Business. Du nimmst 3 von mir...

Lala Satalin... 14. Mai 2015

Das steht doch im Artikel. Es betrifft auch VMs über QEMU, die kein Diskettenlaufwerk...

RaZZE 13. Mai 2015

Funktioniert übrigens perfekt.

RaZZE 13. Mai 2015

Website hoster nicht zwingend. Aber vserver werden oft auf qemu deployt


Folgen Sie uns
       


LG V50 mit Dualscreen - Hands on (MWC 2019)

LG hat auf dem Mobile World Congress 2019 in Barcelona das 5G-fähige Smartphone V50 Thinq gezeigt. Passend dazu gibt es eine spezielle Hülle, die sich Dual Screen nennt. Darun befindet sich ein zweites Display, das sich parallel zum normalen Smartphone-Display nutzen lässt.

LG V50 mit Dualscreen - Hands on (MWC 2019) Video aufrufen
Flugzeugabsturz: Boeing 737 MAX geht wegen Softwarefehler außer Betrieb
Flugzeugabsturz
Boeing 737 MAX geht wegen Softwarefehler außer Betrieb

Wegen eines bekannten Softwarefehlers wird der Flugbetrieb für Boeings neustes Flugzeug fast weltweit eingestellt - Die letzte Ausnahme war: die USA. Der Umgang der amerikanischen Flugaufsichtsbehörde mit den Problemen des neuen Flugzeugs erscheint zweifelhaft.

  1. Boeing Rollout der neuen 777X in wenigen Tagen
  2. Boeing 747 Der Jumbo Jet wird 50 Jahre alt
  3. Lufttaxi Uber sucht eine weitere Stadt für Uber-Air-Test

Google: Stadia tritt gegen Gaming-PCs, Playstation und Xbox an
Google
Stadia tritt gegen Gaming-PCs, Playstation und Xbox an

GDC 2019 Google streamt nicht nur so ein bisschen - stattdessen tritt der Konzern mit Stadia in direkte Konkurrenz zur etablierten Spielebranche. Entwickler können für ihre Games mehr Teraflops verwenden als auf der PS4 Pro und der Xbox One X zusammen.
Von Peter Steinlechner


    Gesetzesinitiative des Bundesrates: Neuer Straftatbestand Handelsplattform-Betreiber im Darknet
    Gesetzesinitiative des Bundesrates
    Neuer Straftatbestand Handelsplattform-Betreiber im Darknet

    Eine Gesetzesinitiative des Bundesrates soll den Betrieb von Handelsplattformen im Darknet unter Strafe stellen, wenn sie Illegales fördern. Das war auch bisher schon strafbar, das Gesetz könnte jedoch vor allem der Überwachung dienen, kritisieren Juristen.
    Von Moritz Tremmel

    1. Security Onionshare 2 ermöglicht einfachen Dateiaustausch per Tor
    2. Tor-Netzwerk Britischer Kleinstprovider testet Tor-SIM-Karte
    3. Tor-Netzwerk Sicherheitslücke für Tor Browser 7 veröffentlicht

      •  /