Loading
0

阿里云服務器安全漏洞公告 | 虛擬化逃逸0day漏洞

ISC2020第八屆互聯網安全大會上,QEMU-KVM虛擬機的0day漏洞(虛擬機逃逸)被公開。該漏洞可越界讀寫某一個堆之后0xffffffff(4 GB內存)的內容,可實現完整的虛擬機逃逸。阿里云已對該漏洞進行了修復。

漏洞信息

2019年11月17日天府杯國際網絡安全大賽,第一次暴露出QEMU-KVM虛擬機的0day安全漏洞。2020年08月13日,ISC2020第八屆互聯網安全大會上,該漏洞被公開。該漏洞可越界讀寫某一個堆之后0xffffffff(4 GB內存)的內容,可實現完整的虛擬機逃逸,最終在宿主機中執行任意代碼,造成較為嚴重的信息泄露。截止目前QEMU官方并未提供任何修復補丁。

解決方法

阿里云已于2019年12月完成該漏洞的修復,您無需做修復操作。

如果您有相關需求或反饋,請提交工單聯系阿里云。

公告方

阿里云計算有限公司