Обнаружена критическая уязвимость в Xen, KVM и QEMU

Обнаружена критическая уязвимость в Xen, KVM и QEMU

В развиваемом проектом QEMU коде эмуляции контроллера флоппи-дисков (FDC) выявлена критическая уязвимость (CVE-2015-3456), получившая кодовое имя VENOM. Кроме QEMU драйвер также используется в системах виртуализации Xen и KVM. Уязвимость позволяет выйти за пределы гостевой системы и получить управления над базовым хост-окружением.

Пользователь гостевой системы, имеющий доступ к портам ввода/вывода (привилегированный пользователь в Linux и любой пользователь в Windows), может отправить эмулятору контроллера FDC специально оформленную команду, которая приведёт к переполнению буфера и выполнению произвольного кода на стороне гостевой системы с правами сопутствующего процесса QEMU. Если данный процесс выполняется с правами root, то пользователь может обойти ограничения виртуализации и из гостевого окружения получить root-доступ к основной системе.

Проблема проявляется во всех гостевых системах на базе архитектуры x86 и x86-64, выполняемых с использованием гипервизора Xen в режиме полной виртуализации (HVM) и в системах на базе QEMU/KVM. Тип эмулируемого оборудования и настройки запуска QEMU не имеют значения, так как в режимах PIIX и ICH9 создаётся мост для шины ISA, в котором в любом случае доступен виртуальный контроллер флоппи-дисков. Также не имеет значение наличие в гостевой системе файла устройства для доступа к флоппи-диску, так как эксплуатация производится через обращение к портам ввода/вывода.

Обновления с устранением уязвимости уже выпущено для RHEL, CentOS, Ubuntu и Debian. Также доступны патчи к QEMU и Xen. Оценить появление обновлений в других дистрибутивах можно на следующих страницах: Fedora, openSUSE, SLES, Slackware, Gentoo, FreeBSD, NetBSD. В качестве обходного пути защиты в RHEL/CentOS предлагается использовать sVirt и seccomp для ограничения привилегий процесса QEMU и ограничение доступа к ресурсам. В Ubuntu в конфигурации по умолчанию при использовании QEMU с libvirt применяется дополнительная изоляция при помощи AppArmor.

Проблема присутствует с 2004 года и вызвана отсутствием проверки переполнения при записи в FIFO-буфер фиксированного размера, используемый в слое эмуляции FDC для хранения команд контроллера и их параметров. Запись в буфер ведётся побайтово, отражая запись данных в порты ввода/вывода, с последующим увеличением индекса, указывающего на текущую позицию в буфере. После выполнения команды индекс сбрасывается в ноль и для следующей команды буфер заполняется заново. Для некоторых команд, таких как FD_CMD_READ_ID и FD_CMD_DRIVE_SPECIFICATION_COMMAND, в определённых ситуациях сброс индекса не производился или производился с задержкой, что даёт возможность полностью заполнить буфер и осуществить запись за его пределы. 

Selectel первым получил аттестат ФСТЭК по новым требованиям приказа №117

Selectel сообщил о получении аттестата соответствия обновленным требованиям приказа ФСТЭК России №117. В компании заявляют, что стали первым облачным провайдером, публично подтвердившим соответствие новым правилам для информационных систем первого класса защищенности — К1.

Приказ №117 вступил в силу в марте 2026 года и заменил прежний приказ №17. Главное изменение — требования теперь касаются не только государственных информационных систем, но и других систем госсектора.

Кроме того, под действие правил могут попадать коммерческие компании, если они работают с защищаемыми системами, государственными заказчиками или участвуют в госконтрактах.

Для бизнеса это означает простую вещь: если компания работает с чувствительными данными или проектами для государства, требования к инфраструктуре становятся жестче. И закрывать их придется не «когда-нибудь потом», а уже в рамках новых правил.

Аттестат Selectel подтверждает, что облачную платформу провайдера можно использовать для размещения систем, подпадающих под требования приказа №117. Клиенты также смогут использовать такую инфраструктуру при прохождении собственной аттестации. Средства защиты информации при этом предоставляются по подписочной модели, без отдельной закупки и внедрения.

Аналогичная возможность аттестации доступна и для выделенных серверов Selectel в рамках аттестованных сегментов ЦОД.

По данным компании, спрос на защищенную инфраструктуру растет. Выручка от аттестованной облачной инфраструктуры по итогам 2025 года увеличилась почти втрое год к году. Быстрее всего потребление облаков росло у клиентов из финансового сектора — в 2,1 раза, в ритейле — в 1,5 раза, в медиа — в 1,4 раза.

В Selectel связывают этот рост с усилением регуляторной нагрузки, дефицитом экспертизы по аттестации и переходом регулируемых отраслей в облака.

Отдельно компания отмечает, что защищенная инфраструктура становится важной не только для выполнения требований ФСТЭК, но и для проектов с искусственным интеллектом, где вопросы безопасности и контроля данных всё чаще выходят на первый план.

RSS: Новости на портале Anti-Malware.ru