Apache CloudStack Releases Security Update for KVM Infrastructure Vulnerability – CVE-2024-50386
2024/11/12 SecurityOnline — Apache CloudStack が公表した、重要なセキュリティ・アドバイザリは、LTS (Long-Term Support) バージョン 4.18.2.5/4.19.1.3 のリリースに合わせたものである。このアドバイザリで対処されるのは、KVM (Kernel-based Virtual Machine) ベースの環境に影響を与える、深刻な脆弱性CVE-2024-50386 (CVSS:8.5) である。この脆弱性の悪用に成功した攻撃者は、テンプレートのダウンロードを悪用してホスト・ファイル・システムを侵害し、KVM インフラの整合性と機密性を重大なリスクにさらす可能性を得る。
Continue reading “Apache CloudStack の脆弱性 CVE-2024-50386 が FIX:KVM ベースの環境に影響”Google now pays $250,000 for KVM zero-day vulnerabilities
2024/07/01 BleepingComputer — Google が立ち上げたのは、KVM (Kernel-based Virtual Machine) ハイパーバイザーのセキュリティ向上のための、新たな脆弱性報奨プログラム (VRP:vulnerability reward program) としての kvmCTF である。この kvmCTF は、2023年10月に発表されたものであり、完全な VM エスケープ・エクスプロイトに対して、$ 250,000 の報奨金が支払われるという。KVM (Kernel-based Virtual Machine) は、17年以上にわたって開発されているオープンソースのハイパーバイザーである。そして、いまでは、コンシューマーや企業における重要なコンポーネントとなり、Android や Google のクラウド・プラットフォームの基盤としても活用されている。
Continue reading “Google の KVM のゼロデイ脆弱性報奨プログラム kvmCTF が開始:その報酬額は MAX で $250,000”
IoT OT Security News 