VENOM yra dar blogesnis pažeidžiamumas nei „Heartbleed“, garsus OpenSSL saugumo trūkumas, iš kurio kalbėjomės šiame tinklaraštyje. Tai veikia GNU / Linux serverius, ir kaip ir „Heartbleed“, nuotoliniu būdu galite gauti informaciją iš serverio atminties neturėdami prieigos leidimo, taip pat VENOM kelia grėsmę saugumui.
„VENOM“ (CVE-2015-3456) yra neseniai atrasta problema, galinti paveikti milijonus serverių ir kompiuterių. Blogiausia, kad to reikia daugiau nei 11 metų ir leidžia nuotoliniam vartotojui pasinaudoti šia spraga, kad gautų prieigą už virtualiosios mašinos ribų. Taigi jo pavadinimas, nes VENOM yra virtualios aplinkos užmirštų operacijų manipuliacijos akronimas.
su „VENOM“ galėtų apeiti virtualiosios mašinos limitą kuri teikia paslaugą ir tiesiogiai veikia su tikra mašina, kad paleistų joje esantį kenksmingą kodą, pasiektų kitas sistemoje esančias virtualias mašinas, patektų į kitas duomenų tinklo sritis ir kt.
Šios problemos priežastis yra pasenusi, bet vis dar esanti, diskelio valdiklis. Nors diskeliai yra praktiškai pasenę, jie vis tiek tvarkomi dėl atgalinio suderinamumo priežasčių. Iš tikrųjų tai paveikė beveik 95% tokių sistemų kaip:
- RHEL 5.x, 6.x ir 7.x
- „CentOS Linux“ 5.x, 6.x, 7.x
- „OpenStack 4“, 5 (RHEL 6) ir 5 ir 6 (RHEL 7).
- „Red Hat Enterprise“ virtualizavimas 3.
- „Debian“ ir kiti jo pagrindu sukurti „distros“. Įskaitant „Ubuntu“ (12.04, 14,04, 14,10 ir 15.04).
- SUSE Linux Enterprise Server 5, 6, 7, 10, 11, 12 (visuose pakeitimų paketuose)
Norėdami išspręsti šią VENOM problemą, turėtumėte kuo atnaujinti savo platinimą naudodami naujausius saugos pleistrus. Be to, jei naudojate „VirtualBox“, turite ją atnaujinti į 4.3 ar naujesnę versiją (kai jos pasirodys). Nors nereikės iš naujo paleisti sistemos, norint išspręsti problemą, reikės paleisti virtualias mašinas.
taip pat veikia virtualias mašinas su QEMU, XEN, KVM ir Citrix. Bet tai neturi įtakos „VMWare“, „Microsoft Hyper-V“, virtualizavimo sistemoms ir BOCHS. Taigi būkite atnaujinti ir sužinokite, kaip ištaisyti problemą. Tikiuosi, kad tai pažadinimo skambutis kūrėjams, kurie taip pat turėtų patikrinti seną kodą, kad šie dalykai neatsitiktų.