VENOM on veelgi hullem haavatavus kui Heartbleed, OpenSSL-i kuulus turvaviga, kust oleme siin blogis rääkinud. See mõjutab GNU / Linuxi servereid ja nagu ka Heartbleedi puhul, saaksite serveri mälust teavet hankida eemalt ilma juurdepääsuõigust omamata, on VENOM ka turvaoht.
VENOM (CVE-2015-3456) on hiljuti avastatud probleem, mis võib mõjutada miljoneid servereid ja arvuteid. Halvim on see, et see võtab praegu rohkem kui 11 aastat ja võimaldab kaugkasutajal seda haavatavust kasutada, et pääseda juurde virtuaalsest masinast. Sellest ka tema nimi, kuna VENOM on lühend virtuaalse keskkonna tähelepanuta jäetud operatsioonide manipuleerimisest.
koos VENOM võiks virtuaalmasina piirangust mööda minna mis osutab teenust ja töötab otse reaalse masinaga, et käivitada sellel pahatahtlik kood, pääseda juurde teistele süsteemis olevatele virtuaalsetele masinatele, pääseda juurde teistele andmevõrgu aladele jne.
Ja selle probleemi põhjus on aegunud, kuid endiselt olemas, disketi kontroller. Kuigi disketid on praktiliselt vananenud, hoitakse neid siiski tagurpidi ühilduvuse huvides. Tegelikult on see mõjutanud peaaegu 95% sellistest süsteemidest nagu:
- RHEL 5.x, 6.x ja 7.x
- CentOS Linux 5.x, 6.x, 7.x
- OpenStack 4, 5 (RHEL 6) ja 5 ja 6 (RHEL 7).
- Red Hat ettevõtte virtualiseerimine 3.
- Debian ja selle põhjal muud distrod. Sealhulgas Ubuntu (12.04, 14,04, 14,10 ja 15.04).
- SUSE Linux Enterprise Server 5, 6, 7, 10, 11, 12 (kõigis selle hoolduspakettides)
Selle VENOM-i probleemi lahendamiseks, peaksite oma levitamist värskeimate turvapaikadega võimalikult ajakohasena hoidma. Samuti, kui kasutate VirtualBoxi, peate selle värskendama versioonile 4.3 või uuemale (kui need välja tulevad). Kuigi te ei pea süsteemi taaskäivitama, peate probleemi lahendamiseks taaskäivitama virtuaalsed masinad.
ka mõjutab virtuaalmasinaid QEMU, XEN, KVM ja Citrixiga. Kuid see ei mõjuta VMWare'i virtualiseerimissüsteeme, Microsofti Hyper-V ja see ei mõjuta BOCHS-i. Nii et hoidke end kursis ja uurige oma juhtumi puhul, kuidas probleemi lahendada. Loodetavasti on see äratuskell arendajatele, kes peaksid ka vana koodi kontrollima, et neid asju ei juhtuks.