वीएनओएम हार्टलेड की तुलना में भी अधिक कमजोर हैओपनएसएसएल में प्रसिद्ध सुरक्षा दोष जिसमें से हमने इस ब्लॉग में बात की है। यह GNU / Linux सर्वर को प्रभावित करता है, और हार्टबलेड के साथ आप एक्सेस की अनुमति के बिना सर्वर की मेमोरी से सूचना को पुनः प्राप्त कर सकते हैं, वीएनओएम भी एक सुरक्षा खतरा है।
VENOM (CVE-2015-3456) एक हाल ही में खोजा गया मुद्दा है जो लाखों सर्वर और कंप्यूटर को प्रभावित कर सकता है। सबसे बुरी बात यह है कि यह लेता है 11 वर्ष से अधिक वर्तमान और वर्चुअल मशीन के बाहर पहुंच प्राप्त करने के लिए एक दूरस्थ उपयोगकर्ता को इस भेद्यता का फायदा उठाने की अनुमति देता है। इसलिए इसका नाम, चूंकि वीनॉम वर्चुअल एनवायरनमेंट नेगलेक्टेड ऑपरेशंस मैनिपुलेशन के लिए संक्षिप्त है।
साथ VENOM वर्चुअल मशीन की सीमा को बायपास कर सकता है यह सेवा प्रदान करता है और उस पर दुर्भावनापूर्ण कोड निष्पादित करने के लिए वास्तविक मशीन के साथ सीधे संचालित होता है, सिस्टम में मौजूद अन्य आभासी मशीनों तक पहुंच, डेटा नेटवर्क के अन्य क्षेत्रों तक पहुंच आदि।
और इस समस्या का कारण पुराना है, लेकिन अभी भी मौजूद है, फ्लॉपी कंट्रोलर। हालांकि फ्लॉपी डिस्क व्यावहारिक रूप से अप्रचलित हैं, यह अभी भी पिछड़े संगतता के कारणों के लिए बनाए रखा गया है। वास्तव में, इसने लगभग 95% प्रणालियों को प्रभावित किया है:
- आरएचईएल 5.x, 6.x और 7.x
- सेंटोस लिनक्स 5.x, 6.x, 7.x
- ओपनस्टैक 4, 5 (आरएचईएल 6), और 5 और 6 (आरएचईएल 7)।
- Red Hat Enterprise वर्चुअलाइजेशन 3।
- इसके आधार पर डेबियन और अन्य डिस्ट्रोस। जिसमें उबंटू (12.04, 14,04, 14,10 और 15.04) शामिल हैं।
- SUSE लाइनेक्स एंटरप्राइज सर्वर 5, 6, 7, 10, 11, 12 (इसके सभी सर्विस पैक में)
इस VENOM समस्या को ठीक करने के लिए, आपको नवीनतम सुरक्षा पैच के साथ अपने वितरण को यथासंभव अद्यतित रखना चाहिए। इसके अलावा, यदि आप VirtualBox का उपयोग करते हैं, तो आपको इसे 4.3 या उच्चतर संस्करण में अपडेट करना होगा (जब वे बाहर आते हैं)। हालाँकि सिस्टम को पुनरारंभ नहीं करना होगा, समस्या को ठीक करने के लिए वर्चुअल मशीन को पुनरारंभ करना होगा।
भी QEMU, XEN, KVM और Citrix के साथ आभासी मशीनों को प्रभावित करता है। लेकिन यह VMWare के वर्चुअलाइजेशन सिस्टम, माइक्रोसॉफ्ट के हाइपर-वी को प्रभावित नहीं करता है, और यह BOCHS को प्रभावित नहीं करता है। इसलिए अपडेट रहें और अपने मामले में पता करें कि समस्या को कैसे ठीक किया जाए। आशा है कि यह डेवलपर्स के लिए एक वेक-अप कॉल है, जिन्हें पुराने कोड का भी ऑडिट करना चाहिए ताकि ये चीजें न हों।