手机版
你好,游客 登录 注册
背景:
阅读新闻

CVE-2019-14378:QEMU虚拟机转义漏洞警报

[日期:2019-08-27] 来源:Linux公社  作者:醉落红尘 [字体: ]

最近,一位研究人员宣布了QEMU模拟器SLiRP网络实现中存在的堆缓冲区溢出漏洞(CVE-2019-14378)。攻击者可利用此漏洞破坏主机上的QEMU进程,从而导致拒绝服务或使用QEMU进程的权限执行任意代码的可能性。

成功利用此漏洞需要绕过ASLR和PIE,并且比VENOM攻击更难以利用,但根据研究人员提供的验证视频,在QEMU内执行shell脚本可以在主机上打开计算器进程。此漏洞当前存在PoC,并且新版本中已修复此漏洞。

目前,qemu官方已发布最新版本(v4.1.0,1.0-rc5,v4.1.0-rc4)来修复此漏洞,建议尽快下载升级。 SUSE,Debian,RedHat等也提供更新来修复此漏洞。

Ubuntu 12.04之找不到Qemu命令 https://www.linuxidc.com/Linux/2012-11/73419.htm
Arch Linux上安装QEMU+EFI BIOS https://www.linuxidc.com/Linux/2013-02/79560.htm
QEMU的翻译框架及调试工具 https://www.linuxidc.com/Linux/2012-09/71211.htm
QEMU 代码分析:BIOS 的加载过程 https://www.linuxidc.com/Linux/2014-12/110472.htm
Linux入门学习教程:虚拟机体验之QEMU篇 https://www.linuxidc.com/Linux/2015-03/114461.htm

QEMU 4.1 发布,为ARM,MIPS和x86带来许多改进  https://www.linuxidc.com/Linux/2019-08/160135.htm

Ubuntu 18.04.3 LTS源码安装QEMU 4.1.0 https://www.linuxidc.com/Linux/2019-08/160138.htm

QEMU 的详细介绍请点这里
QEMU 的下载地址请点这里

Linux公社的RSS地址https://www.linuxidc.com/rssFeed.aspx

本文永久更新链接地址https://www.linuxidc.com/Linux/2019-08/160405.htm

linux
相关资讯       QEMU漏洞  CVE-2019-14378 
本文评论   查看全部评论 (0)
表情: 表情 姓名: 字数

       

评论声明
  • 尊重网上道德,遵守中华人民共和国的各项有关法律法规
  • 承担一切因您的行为而直接或间接导致的民事或刑事法律责任
  • 本站管理人员有权保留或删除其管辖留言中的任意内容
  • 本站有权在网站内转载或引用您的评论
  • 参与本评论即表明您已经阅读并接受上述条款