27
Mayo
2015

VENOM Vulnerability CVE-2015-3456

Solución y parches para la vulnerabilidad VENOM en Proxmox y otros

Proxmox LogotypeSe ha publicado el pasado 13 de Mayo de 2015 una vulnerabilidad grave en el controlador del Disco Floppy de QEMU, el cual puede permitir a un invitado a ejecutar código arbitrario e inutilizar el host físico en el cual se ejecuta (maquina contenedora de los VM o servidores virtuales) basado en KVM (Quemu).

El problema, es que aunque deshabilitemos el uso del Floppy Disk Drive para los servidores virtuales (VPS) como viene siendo por defecto por ejemplo en Proxmox, SolusVm, el problema no se soluciona.

Dependiendo del software que usemos, deberemos acudir a la actualización, que requerirá, el reinicio de los VPS, aunque no del host principal.

 

Actualización de sistema CentOs/Redhat

yum update qemu-kvm

Actualización Proxmox 3.X

En principio no tiene mayor riesgo, aunque como siempre deberemos tener preparadas nuestras copias de seguridad, o realizar una migración online si nuestra estructura lo permite.

apt-get update; apt-get upgrade

Sin embargo podemos encontrarnos con problemas porque apt-get no actualice el paquete pve-qemu-kvm

Reading state information... Done
The following packages have been kept back:
  grub-common grub-pc grub-pc-bin grub2-common parted proxmox-ve-2.6.32 pve-manager pve-qemu-kvm

Puedes ser dependiendo de la versión que se trate de un problema de dependencias. Podemos bajar desde el repositorio de Proxmox el paquete pve-qemu-kvm_2.2-10 e instalarlo

wget http://download.proxmox.com/debian/dists/wheezy/pvetest/binary-amd64/pve-qemu-kvm_2.2-10_amd64.deb; dpkg -i pve-qemu-kvm_2.2-10_amd64.deb
dpkg: dependency problems prevent configuration of pve-qemu-kvm:
 pve-qemu-kvm depends on numactl; however:
  Package numactl is not installed.

dpkg: error processing pve-qemu-kvm (--install):
 dependency problems - leaving unconfigured

Ya sabiendo el problema podemos instalarlo con apt-get

apt-get install numactl
Reading package lists... Done
Building dependency tree
Reading state information... Done
The following NEW packages will be installed:
  numactl
0 upgraded, 1 newly installed, 0 to remove and 7 not upgraded.
1 not fully installed or removed.
...
Setting up numactl (2.0.8~rc4-1) ...
Setting up pve-qemu-kvm (2.2-10) ...

Verificacion para proxmox

pveversion -v | grep qemu-kvm
pve-qemu-kvm: 2.2-10

Después de esto toca reiniciar los VPS

Author; Abdelkarim Mateos Sanchez Categories: Virtualización, Seguridad

About the Author

Abdelkarim Mateos Sanchez

Abdelkarim Mateos Sanchez

Déje un comentario

Estás comentando como invitado.