• IT-Karriere:
  • Services:

Virtualisierung: Venom-Lücke in Diskettentreiber von KVM und Xen

Ein Fehler im Diskettentreiber von QEMU kann in verschiedenen Virtualisierungslösungen zu einer Sicherheitslücke führen. Sie lässt sich selbst dann ausnutzen, wenn überhaupt kein virtuelles Diskettenlaufwerk genutzt wird.

Artikel veröffentlicht am , Hanno Böck
Zwar nutzt kaum noch jemand Disketten, der Code zur Emulation von Diskettencontrollern kann aber immer noch Sicherheitsrisiken bergen.
Zwar nutzt kaum noch jemand Disketten, der Code zur Emulation von Diskettencontrollern kann aber immer noch Sicherheitsrisiken bergen. (Bild: Floppy/Wikimedia Commons)

In der Emulationssoftware QEMU wurde ein Buffer Overflow gefunden, der für verschiedene Virtualisierungslösungen ein Sicherheitsrisiko darstellen kann. Der Fehler befindet sich im Code zur Emulation von Diskettenlaufwerken. Die Programme KVM und Xen nutzen beide den Emulationscode von QEMU und sind somit von der Lücke betroffen.

Stellenmarkt
  1. Freie und Hansestadt Hamburg, Behörde für Stadtentwicklung und Wohnen, Hamburg
  2. Kreis Segeberg, Segeberg

Entdeckt wurde der Fehler von Jason Geffner, einem Mitarbeiter der IT-Sicherheitsfirma Crowdstrike. Die Lücke hat den Namen Venom erhalten, die Abkürzung steht für Virtualized Environment Neglected Operations Manipulation. In der National Vulnerability Database (NVD) wird die Lücke unter der Id CVE-2015-3456 geführt.

Gast-System kann Code auf dem Host ausführen

Die Lücke kann dazu genutzt werden, aus einem virtuellen System auszubrechen und Code auf dem Host-System auszuführen. Selbst virtuelle Maschinen, in denen überhaupt kein virtuelles Diskettenlaufwerk konfiguriert ist, sind von der Lücke betroffen. Ein zweiter von der Sicherheitslücke unabhängiger Fehler sorgt dafür, dass auch dann ein Zugriff auf den virtuellen Diskettencontroller möglich ist.

Die Webseite zur Lücke liefert nur wenige Details. Ein Blog-Eintrag von Red Hat gibt einige weitere Informationen. Demnach kann es beim Schreibzugriff auf den FIFO-Buffer des Diskettencontrollers in bestimmten Situationen zu einem Buffer Overflow kommen, und ein Angreifer kann Speicherbereiche überschreiben. Red Hat geht davon aus, dass eine Codeausführung auf dem Host-System möglich ist, es gibt allerdings noch keinen öffentlich bekannten Exploit.

Xen hat ein Security Advisory zu der Lücke herausgegeben, darin sind auch Patches verlinkt. Für QEMU/KVM gibt es ebenfalls einen Patch. Amazon hat in einer Meldung bekanntgegeben, dass für Kunden der Amazon Web Services kein Risiko bestehe. Ob Amazon vorab über die Lücke informiert wurde oder ob deren Services aufgrund der Konfiguration der virtuellen Maschinen nicht betroffen sind, geht aus der Meldung nicht hervor.

Nur für wenige Nutzer kritisch

Wirklich kritisch ist VENOM nur für wenige Nutzer. Lediglich wenn auf einem Gastsystem nicht vertrauenswürdige Nutzer direkten Zugriff auf den Diskettencontroller haben, besteht ein Problem. Unter Linux ist das in der Regel nur der Root-Nutzer, unter Windows-Systemen haben jedoch auch gewöhnliche Nutzer meist diese Möglichkeit. Betroffen sind von Venom in erster Linie Webhoster, die ihren Kunden virtuelle Server anbieten.

Nachtrag vom 13. Mai 2015, 18:42 Uhr

Wir hatten ursprünglich geschrieben, dass für QEMU noch kein Patch bereitstehe. Das war falsch, wir haben jetzt den Patch im Text verlinkt.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. 149,90€
  2. 649,00€ (Bestpreis!)
  3. (aktuell u. a. Intenso Top SSD 256 GB für 27,99€, Emtec X250 SSD Power Plus 512 GB für 59,90€)
  4. 24,95€

TheUnichi 20. Mai 2015

Ahhhhh ja, richtig, die meistgenutzten Lösungen im Business. Du nimmst 3 von mir...

Lala Satalin... 14. Mai 2015

Das steht doch im Artikel. Es betrifft auch VMs über QEMU, die kein Diskettenlaufwerk...

RaZZE 13. Mai 2015

Funktioniert übrigens perfekt.

RaZZE 13. Mai 2015

Website hoster nicht zwingend. Aber vserver werden oft auf qemu deployt


Folgen Sie uns
       


Datenbasierte Archäologie im DAI

Idai World ist ein System, um archäologische Daten aufzubereiten und online zugänglich zu machen. Benjamin Ducke vom Deutschen Archäologischen Institut stellt es vor.

Datenbasierte Archäologie im DAI Video aufrufen
Mr. Robot rezensiert: Domo Arigato, Mr. Robot!
Mr. Robot rezensiert
Domo Arigato, Mr. Robot!

Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel

  1. Openideo-Wettbewerb Die fünf besten Hacker-Symbolbilder sind ausgewählt
  2. Cyberangriffe Attribution ist wie ein Indizienprozess
  3. Double Dragon APT41 soll für Staat und eigenen Geldbeutel hacken

Lovot im Hands-on: Knuddeliger geht ein Roboter kaum
Lovot im Hands-on
Knuddeliger geht ein Roboter kaum

CES 2020 Lovot ist ein Kofferwort aus Love und Robot: Der knuffige japanische Roboter soll positive Emotionen auslösen - und tut das auch. Selten haben wir so oft "Ohhhhhhh!" gehört.
Ein Hands on von Tobias Költzsch

  1. Orcam Hear Die Audiobrille für Hörgeschädigte
  2. Viola angeschaut Cherry präsentiert preiswerten mechanischen Switch
  3. Consumer Electronics Show Die Konzept-Messe

Elektromobilität: Diese E-Autos kommen 2020 auf den Markt
Elektromobilität
Diese E-Autos kommen 2020 auf den Markt

Bei Käufern wird die höhere Umweltprämie, bei den Herstellern werden die strengeren CO2-Grenzwerte die Absatzzahlen von Elektroautos ankurbeln. Interessenten haben 2020 eine noch größere Auswahl, hier ein Überblick über die Neuerscheinungen.
Ein Bericht von Dirk Kunde

  1. Mercedes E-Econic Daimler elektrifiziert den Müllwagen
  2. Umweltprämie für Elektroautos Regierung verzögert Prüfung durch EU-Kommission
  3. Intransparente Preise Verbraucherschützer mahnen Ladenetzbetreiber New Motion ab

    •  /