ご利用ガイドQEMUの脆弱性 CVE-2015-3456(VENOM)に関するお知らせ
目次
「これは2015年5月17日以前にアカウント登録されたお客様向けの記事です。」
概要
2015年5月13日、仮想マシンエミュレーターのQEMUに脆弱性が見つかりました。詳細は以下です。
・ CVE -CVE-2015-3456
・ VENOM Vulnerability
この脆弱性はゲストVM(お客様のVPSなど)からフロッピーディスクコントローラー(FDC)の特定のコマンドを発行することで、仮想環境のホストマシンに対して影響を及ぼすことができるものです。
ConoHaはハイパーバイザーにQEMU/KVMを使用しており、この脆弱性の影響を受ける可能性があります。
弊社は現在、この問題がConoHaのサービスにどのような影響を与えるのかを調査しています。アップデートがありましたら当ブログエントリー、コントロールパネル内の告知でお知らせいたします。
5/15 14:40更新
調査の結果、ConoHaのVPSサービス全てが影響を受けることが判明しました。弊社ではこの問題を解決するために、ディストリビューターからのパッチをホストOSへ適用する作業を順次実施いたします。この作業がお客様のVPSに影響を与えることはありません。
また弊社の作業完了後、アップデートを有効にするためお客様においては一度VPSを「シャットダウン」し、その後に「起動」を行って頂く必要があります(「再起動」は不可)。引き続き情報のアップデートをお待ちください。
5/25 11:10更新
ホストOSのパッチ適用作業ですが、5月29日(金)に完了する見通しです。お客様におかれましては、引き続き情報のアップデートをお待ちいただければと存じます。
5/29 11:00更新
収容ホストへディストリビューターから提供されているパッチを適用する作業を順次進めてまいりましたが、本日作業が完了したことをお知らせいたします。
このアップデートをお客様がご利用中のVPSに適用するために、一度VPSを「シャットダウン」し、その後に「起動」を行って頂く必要があります(「再起動」は不可)。
お客様におかれましては、以下の対応期限までにVPSのシャットダウンと再度起動を実行していただくようお願いいたします。
————————————————
対応期限:2015年6月12日(金) 19:00
————————————————
上記期限までにこの作業を行っていただけなかったVPSについては、弊社側でのシャットダウンとその後の起動作業を行います。
お客様には大変ご迷惑をおかけいたしますが、ご理解、ご協力のほど、お願いいたします。
更新履歴
・ 初版公開 – 2015/05/14 13:25
・ 影響範囲と対応方針を追記 – 2015/05/15 14:40
・ 作業の進捗状況を追記 – 2015/05/25 11:10
・ 作業完了のご報告とお客様側作業のご案内を追記 – 2015/05/29 11:00
参考情報
・ CVE -CVE-2015-3456
・ VENOM Vulnerability
・ VENOM: QEMU vulnerability (CVE-2015-3456)
・ VENOM: QEMU 脆弱性 (CVE-2015-3456)
