CVE-2015-3456

読み:スィーヴィーイー・にーゼロいちご・さんよんごーろく
外語:CVE-2015-3456 英語
品詞:固有名詞

QEMUに存在した脆弱性の一つで、「ゲストVM脱出」の脆弱性。XenおよびKVM/QEMUハイパーバイザーも影響を受ける。通称「VENOM」。

目次

概要

MITRE社の脆弱性情報データベースCommon Vulnerabilities and Exposures(CVE)に登録されている脆弱性の一つ。

これは、QEMUの欠陥により、本来秘匿すべき情報(OpenSSLが使用する保護されたメモリー内容)が漏洩する可能性がある、極めて重大なセキュリティホールである。

  • 影響: 不明 (発覚時点でQEMUの全ての現行バージョン)

特徴

問題

  • ゲストVM脱出
  • ホスト上で任意のコードを実行
  • ゲストがホストのQEMUプロセスをクラッシュさせられる
  • 情報漏洩

原因

仮想フロッピーディスクドライバーの処理に、バッファーオーバーフローの脆弱性が存在した。

このため、ゲストからホストのプロセスを停止させたり、ホストの権限で任意のコードを実行させることが理論上は可能である。

用語の所属
セキュリティホール
脆弱性
トップへ

広告

コメントなどを投稿するフォームは、日本語対応時のみ表示されます

KisoDic通信用語の基礎知識検索システム WDIC Explorer Version 7.04a (27-May-2022)
Search System : Copyright © Mirai corporation
Dictionary : Copyright © WDIC Creators club