Abo
  • IT-Karriere:

Virtualisierung: Venom-Lücke in Diskettentreiber von KVM und Xen

Ein Fehler im Diskettentreiber von QEMU kann in verschiedenen Virtualisierungslösungen zu einer Sicherheitslücke führen. Sie lässt sich selbst dann ausnutzen, wenn überhaupt kein virtuelles Diskettenlaufwerk genutzt wird.

Artikel veröffentlicht am , Hanno Böck
Zwar nutzt kaum noch jemand Disketten, der Code zur Emulation von Diskettencontrollern kann aber immer noch Sicherheitsrisiken bergen.
Zwar nutzt kaum noch jemand Disketten, der Code zur Emulation von Diskettencontrollern kann aber immer noch Sicherheitsrisiken bergen. (Bild: Floppy/Wikimedia Commons)

In der Emulationssoftware QEMU wurde ein Buffer Overflow gefunden, der für verschiedene Virtualisierungslösungen ein Sicherheitsrisiko darstellen kann. Der Fehler befindet sich im Code zur Emulation von Diskettenlaufwerken. Die Programme KVM und Xen nutzen beide den Emulationscode von QEMU und sind somit von der Lücke betroffen.

Stellenmarkt
  1. CompuSafe Data Systems AG, Bonn, Köln, München, Nürnberg
  2. ADAC SE, München

Entdeckt wurde der Fehler von Jason Geffner, einem Mitarbeiter der IT-Sicherheitsfirma Crowdstrike. Die Lücke hat den Namen Venom erhalten, die Abkürzung steht für Virtualized Environment Neglected Operations Manipulation. In der National Vulnerability Database (NVD) wird die Lücke unter der Id CVE-2015-3456 geführt.

Gast-System kann Code auf dem Host ausführen

Die Lücke kann dazu genutzt werden, aus einem virtuellen System auszubrechen und Code auf dem Host-System auszuführen. Selbst virtuelle Maschinen, in denen überhaupt kein virtuelles Diskettenlaufwerk konfiguriert ist, sind von der Lücke betroffen. Ein zweiter von der Sicherheitslücke unabhängiger Fehler sorgt dafür, dass auch dann ein Zugriff auf den virtuellen Diskettencontroller möglich ist.

Die Webseite zur Lücke liefert nur wenige Details. Ein Blog-Eintrag von Red Hat gibt einige weitere Informationen. Demnach kann es beim Schreibzugriff auf den FIFO-Buffer des Diskettencontrollers in bestimmten Situationen zu einem Buffer Overflow kommen, und ein Angreifer kann Speicherbereiche überschreiben. Red Hat geht davon aus, dass eine Codeausführung auf dem Host-System möglich ist, es gibt allerdings noch keinen öffentlich bekannten Exploit.

Xen hat ein Security Advisory zu der Lücke herausgegeben, darin sind auch Patches verlinkt. Für QEMU/KVM gibt es ebenfalls einen Patch. Amazon hat in einer Meldung bekanntgegeben, dass für Kunden der Amazon Web Services kein Risiko bestehe. Ob Amazon vorab über die Lücke informiert wurde oder ob deren Services aufgrund der Konfiguration der virtuellen Maschinen nicht betroffen sind, geht aus der Meldung nicht hervor.

Nur für wenige Nutzer kritisch

Wirklich kritisch ist VENOM nur für wenige Nutzer. Lediglich wenn auf einem Gastsystem nicht vertrauenswürdige Nutzer direkten Zugriff auf den Diskettencontroller haben, besteht ein Problem. Unter Linux ist das in der Regel nur der Root-Nutzer, unter Windows-Systemen haben jedoch auch gewöhnliche Nutzer meist diese Möglichkeit. Betroffen sind von Venom in erster Linie Webhoster, die ihren Kunden virtuelle Server anbieten.

Nachtrag vom 13. Mai 2015, 18:42 Uhr

Wir hatten ursprünglich geschrieben, dass für QEMU noch kein Patch bereitstehe. Das war falsch, wir haben jetzt den Patch im Text verlinkt.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 204,90€

TheUnichi 20. Mai 2015

Ahhhhh ja, richtig, die meistgenutzten Lösungen im Business. Du nimmst 3 von mir...

Lala Satalin... 14. Mai 2015

Das steht doch im Artikel. Es betrifft auch VMs über QEMU, die kein Diskettenlaufwerk...

RaZZE 13. Mai 2015

Funktioniert übrigens perfekt.

RaZZE 13. Mai 2015

Website hoster nicht zwingend. Aber vserver werden oft auf qemu deployt


Folgen Sie uns
       


Lenovo Thinkbook 13s - Test

Das Thinkbook wirkt wie eine Mischung aus teurem Thinkpad und preiswerterem Ideapad. Das klasse Gehäuse und die sehr gute Tastatur zeigen Qualität, das Display und die Akkulaufzeit sind die Punkte, bei denen gespart wurde.

Lenovo Thinkbook 13s - Test Video aufrufen
Elektromobilität: Die Rohstoffe reichen, aber ...
Elektromobilität
Die Rohstoffe reichen, aber ...

Brennstoffzellenautos und Elektroautos sollen künftig die Autos mit Verbrennungsantrieb ersetzen und so den Straßenverkehr umweltfreundlicher machen. Dafür sind andere Rohstoffe nötig. Kritiker mahnen, dass es nicht genug davon gebe. Die Verfügbarkeit ist aber nur ein Aspekt.
Eine Analyse von Werner Pluta

  1. Himo C16 Xiaomi bringt E-Mofa mit zwei Sitzplätzen für rund 330 Euro
  2. ADAC-Test Hohe Zusatzkosten bei teuren Wallboxen möglich
  3. Elektroroller E-Scooter sollen in Berlin nicht mehr auf Gehwegen parken

Smarte Wecker im Test: Unter den Blinden ist der Einäugige König
Smarte Wecker im Test
Unter den Blinden ist der Einäugige König

Einen guten smarten Wecker zu bauen, ist offenbar gar nicht so einfach. Bei Amazons Echo Show 5 und Lenovos Smart Clock fehlen uns viele Basisfunktionen. Dafür ist einer der beiden ein besonders preisgünstiges und leistungsfähiges smartes Display.
Ein Test von Ingo Pakalski

  1. Nest Hub im Test Google vermasselt es 1A

WEG-Gesetz: Bundesländer preschen bei Anspruch auf Ladestellen vor
WEG-Gesetz
Bundesländer preschen bei Anspruch auf Ladestellen vor

Können Elektroauto-Besitzer demnächst den Einbau einer Ladestelle in Tiefgaragen verlangen? Zwei Bundesländer haben entsprechende Ergebnisse einer Arbeitsgruppe schon in einem eigenen Gesetzentwurf aufgegriffen.
Eine Analyse von Friedhelm Greis

  1. Startup Rivian plant elektrochromes Glasdach für seine Elektro-SUVs
  2. Elektroautos Mehr als 7.000 neue Ladepunkte in einem Jahr
  3. Elektroautos GM und Volkswagen verabschieden sich vom klassischen Hybrid

    •  /