CVE-2019-14378：QEMU虚拟机转义漏洞警报

CVE-2019-14378：QEMU虚拟机转义漏洞警报

最近，一位研究人员宣布了QEMU模拟器SLiRP网络实现中存在的堆缓冲区溢出漏洞（CVE-2019-14378）。攻击者可利用此漏洞破坏主机上的QEMU进程，从而导致拒绝服务或使用QEMU进程的权限执行任意代码的可能性。

成功利用此漏洞需要绕过ASLR和PIE，并且比VENOM攻击更难以利用，但根据研究人员提供的验证视频，在QEMU内执行shell脚本可以在主机上打开计算器进程。此漏洞当前存在PoC，并且新版本中已修复此漏洞。

目前，qemu官方已发布最新版本（v4.1.0,1.0-rc5，v4.1.0-rc4）来修复此漏洞，建议尽快下载升级。 SUSE，Debian，RedHat等也提供更新来修复此漏洞。

Ubuntu 12.04之找不到Qemu命令 https://www.linuxboy.net/Linux/2012-11/73419.htm
Arch Linux上安装QEMU+EFI BIOS https://www.linuxboy.net/Linux/2013-02/79560.htm
QEMU的翻译框架及调试工具 https://www.linuxboy.net/Linux/2012-09/71211.htm
QEMU 代码分析：BIOS 的加载过程 https://www.linuxboy.net/Linux/2014-12/110472.htm
Linux入门学习教程：虚拟机体验之QEMU篇 https://www.linuxboy.net/Linux/2015-03/114461.htm

QEMU 4.1 发布，为ARM，MIPS和x86带来许多改进  https://www.linuxboy.net/Linux/2019-08/160135.htm

Ubuntu 18.04.3 LTS源码安装QEMU 4.1.0 https://www.linuxboy.net/Linux/2019-08/160138.htm

QEMU 的详细介绍：请点这里
QEMU 的下载地址：请点这里

linuxboy的RSS地址：https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址：https://www.linuxboy.net/Linux/2019-08/160405.htm