ニュース

【5/18 19:00更新】QEMUの脆弱性 CVE-2015-3456(VENOM)に関するお知らせ

■概要
2015年5月13日、仮想マシンエミュレーターのQEMUに脆弱性が見つかりました。
詳細は以下です。

CVE -CVE-2015-3456
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456
VENOM Vulnerability
http://venom.crowdstrike.com/

この脆弱性はゲストVMからフロッピーディスクコントローラー(FDC)の特定のコマンドを発行することで、仮想環境のホストマシンに対して影響を及ぼすことができるものです。

GMOアプリクラウドのVer2.1、3.0環境では、ハイパーバイザーにQEMU/KVMを使用しており、この脆弱性の影響を受ける可能性があります。

弊社は現在、この問題がGMOアプリクラウドのサービスにどのような影響を与えるのかを調査しています。アップデートがありましたらコントロールパネル内の告知でお知らせいたします。

▼5/15 19:50更新
GMOアプリクラウドのVer2.1、3.0環境では、本脆弱性の影響を受ける可能性がございますので、ディストリビューターからのパッチをホストOSへ適用する作業を順次実施する予定です。
また弊社の作業完了後、アップデートを有効にするためお客様においては仮想サーバーを一度「シャットダウン」し、その後「起動」を行なっていただく予定でおります。
引き続き、アップデートがあり次第、コントロールパネル内の告知でお知らせいたします。

▼5/18 19:00更新
GMOアプリクラウドのVer2.1、3.0環境では、本脆弱性の影響を受ける可能性がございますので、ディストリビューターからのパッチをホストOSへ適用する作業を順次実施いたします。
また弊社の作業完了後、アップデートを有効にするためお客様においては仮想サーバーを一度「シャットダウン」し、その後「起動」を行なっていただく予定です。
パッチの適用作業が終わり次第、順次ご案内をさせていただきますので、ご協力のほど、よろしくお願い申し上げます。

■更新履歴
初版公開 – 2015/05/14 17:00
対応方針を追記 – 2015/05/15 19:50
対応方針を追記 – 2015/05/18 19:00

■参考情報
CVE -CVE-2015-3456
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2015-3456
VENOM Vulnerability
http://venom.crowdstrike.com/
VENOM: QEMU vulnerability (CVE-2015-3456)
https://access.redhat.com/articles/1444903
VENOM: QEMU 脆弱性 (CVE-2015-3456)
https://access.redhat.com/ja/articles/1446873