首页 云计算

腾讯Blade Team发现云虚拟化平台QEMU-KVM逃逸漏洞 各大云厂或受影响

【TechWeb】10月10日,腾讯Blade Team团队在针对云上虚拟化安全研究中,发现了主流虚拟化平台QEMU-KVM的?#29616;?#28431;洞,攻击者利用该漏洞在一定条件下可通过子机使母机崩溃,导致拒绝服务,甚至完全控制母机和母机上其他商户虚拟机。

Blade Team技术负责人Cradmin介绍说,虚拟化平台QEMU-KVM的vhost内核模块存在一个缓冲区溢出漏洞,可在虚拟子机热迁移场景下触发。热迁移是云服务厂商为了解决机器故障或优化计算资源的常见操作,可能每天都会进行。攻击者可以借此机会,通过漏洞实现虚拟机逃逸攻击,操纵子机使母机内核崩溃或在物理机内核中执行恶意代码,进而完全控制母机,进而影响服务器上所有商户的业务。

云上商户本各?#28304;?#22312;互不影响的虚拟机之中,但该漏洞一旦?#32531;?#23458;利用,就可以实现云端“越狱”,控制母机,进而对云平台上的众多商户产生影响。这个漏洞很可能将影响到Google、Amazon等国?#20351;?#21496;及国内众多知名厂商。

据了解,目前Blade Team已将该漏洞上报给了linux kernel官方,也按照社区规范对漏洞细节进行了披露。同时该漏洞同时被国家信息安全漏洞共享平台(CNVD)?#31456;跡?#32508;合评级为“高危”。

QQ图片20191010163541

 Blade Team官网披露详情 

截至目前,Linux内核主线已将腾讯云提交的安全补丁纳入官方版本对外发布,其他发行版厂商(RedHat/Ubuntu等)也?#20005;?#32487;发布安全公告和修复版本。

官方微博/微信

每日头条、?#21040;?#36164;讯、热点资讯、八卦爆料,全天跟踪微博播报。各种爆料、内幕、花边、资讯一网打尽。百万互联网粉丝互动参与,TechWeb官方微博期待您的关注。

↑扫描二维码

想在手机上看科技资讯和科?#21450;素月穡?/p>

想第一时间看独家爆料和深度报道吗?

请关注TechWeb官方微信公众帐号:

1.用手机扫左侧二维码;

2.在添加朋友里,搜索关注TechWeb。

手机游戏更多

伯恩茅斯艺术学院申请
陕西快乐10分计划 15选5选号技巧大全 四川亲朋棋牌游戏下载 漫威魅惑魔女阿莫拉 球探即时比分网 期期精准无错六肖中特 天津十一选五开奖号码 最好用的股票分析软件 百年三肖六码com 舟山星空棋牌app 最新僵尸来袭安卓版下载 重庆时时彩2期全天计划 幸运飞艇6码技巧 天津十一选五开奖视频 9.9还包邮怎么赚钱的 被重庆时时彩骗了