预警Qemu 虚拟机逃逸漏洞(CVE-2020-14364)

释放双眼,带上耳机,听听看~!

ISC2020第八届互联网安全大会上,QEMU-KVM虚拟机的0day漏洞(虚拟机逃逸)被公开。该漏洞可越界读写某一个堆之后0xffffffff(4 GB内存)的内容,可实现完整的虚拟机逃逸。安全已于2019年12月完成该漏洞的修复,云上主机已不受该漏洞影响。

2020年8月24日,qemu 官方更新了安全补丁修复该漏洞,漏洞编号:CVE-2020-14364,https://xenbits.xen.org/xsa/advisory-335.html

漏洞详情

2019年11月17日天府杯国际网络安全大赛,第一次暴露出QEMU-KVM虚拟机的0day安全漏洞。2020年08月13日,ISC2020第八届互联网安全大会上,该漏洞被公开。该漏洞可越界读写某一个堆之后0xffffffff(4 GB内存)的内容,可实现完整的虚拟机逃逸,最终在宿主机中执行任意代码,造成较为严重的信息泄露。经安全工程师分析后判定,该漏洞是 Qemu 历史上最严重的虚拟机逃逸漏洞,影响到绝大部分使用 OpenStack 的云厂商。

解决方法

安全已于2019年12月完成该漏洞的修复,云上主机无需做修复操作。

如果您有相关需求或反馈,请提交工单联系安全。

相关链接

https://help.aliyun.com/document_detail/179131.html

本站安全专题

2020.8.24

给TA打赏
共{{data.count}}人
人已打赏
安全漏洞

宝塔官方消息7.4.2版本存严重漏洞

2020-8-23 21:51:09

安全漏洞

预警Apache Kylin API未授权访问漏洞(CVE-2020-13937)

2020-12-11 11:36:11

个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索