Quantcast
Channel: CodeSection,代码区,网络安全 - CodeSec
Viewing all articles
Browse latest Browse all 12749

UCloud-201702-004: QEMU任意代码执行漏洞安全预警 | U刻

$
0
0
UCloud-201702-004: QEMU任意代码执行漏洞安全预警
UCloud-201702-004: QEMU任意代码执行漏洞安全预警 | U刻

2017年2月13日

栏目:安全资讯


UCloud-201702-004: QEMU任意代码执行漏洞安全预警 | U刻

尊敬的UCloud用户:

QEMU的Cirrus CLGD 54xx VGA爆发内存越界访问读写漏洞,可以造成宿主机层面的任意代码执行,UCloud正在全网灰度升级修复中。

影响范围

使用了Cirrus CLGD 54xx VGA虚拟显卡的QEMU

检查方法:

主机中执行lspci命令,查看VGA是否使用了Cirrus Logic GD 54XX,如果使用则受到影响。


UCloud-201702-004: QEMU任意代码执行漏洞安全预警 | U刻

修复方案

UCloud已经完成修复包的制作,为保证客户业务稳定,会采用本地热升级方式逐步全网灰度升级。

漏洞详情

CVE-2017-2615:漏洞存在于Cirrus VGA的bitblt操作中,bitblt是bit block transfer的缩写。在VGA模拟中,会分配一段内存vram作为VGA的显示区域,进行bitblt的拷贝操作时,会在这个内存区域中进行数据的拷贝与传输,这其中存在内存越界访问读写漏洞,可能导致读取host的信息,也可能导致代码执行,造成宿主机层面代码任意执行。

参考链接

http://www.openwall.com/lists/oss-security/2017/02/01/6

https://access.redhat.com/security/cve/cve-2017-2615

*本平台所发布文章信息,版权归UCloud所有,如需转载请注明出处!

云安全 漏洞攻击

0


UCloud-201702-004: QEMU任意代码执行漏洞安全预警 | U刻

查看TA的所有文章

更多文章

UCloud-201702-003: Node.js反序列化远程代码执行漏洞安全预警
UCloud-201702-004: QEMU任意代码执行漏洞安全预警 | U刻
云安全团队

2017年2月12日

UCloud-201702-002: windows SMBv3远程攻击0day漏洞安全预警
UCloud-201702-004: QEMU任意代码执行漏洞安全预警 | U刻
云安全团队

2017年2月6日


Viewing all articles
Browse latest Browse all 12749

Trending Articles