修复KVM逃逸漏洞(CVE-2026-53359)的通知
修复进度
香港云自营机器已经修复完成,所有客户机器都重启了一次,本次修复断网了15分钟左右。
香港云部分产品由第三方供应商提供,是否需要升级和升级时间由第三方供应商自行安排。
修复公告
尊敬的客户:
为修复内核安全漏洞 CVE-2026-53359,我们将于 7月8日 22:00 后分批次重启所有宿主机系统。
维护期间,相关虚拟机、容器及依赖宿主系统的服务可能出现短暂中断。请各位提前保存工作、完成必要的数据备份,不要在维护时段执行重要操作。
我们会尽快完成重启与校验工作,若出现任何异常情况,将另行通知。
感谢各位的理解与配合。
不修复该漏洞,可预知的风险
该漏洞是内核级 KVM 逃逸高危漏洞,根源为 Shadow MMU 释放后使用(UAF),同时兼容 Intel/AMD 双架构,不依赖 QEMU,只要宿主机内核未打补丁、开启嵌套虚拟化,租户虚拟机即可击穿虚拟化隔离;分为即时 DoS 攻击、完整虚拟机逃逸接管、服务商业务 / 合规毁灭性风险三层危害:
租户侧(普通云用户)风险
1. 自身业务被恶意租户批量摧毁(DoS 拒绝服务)
攻击者仅需租用同物理机一台虚拟机,拿到 VM 内 root 权限,执行公开 PoC 即可触发宿主机内核 panic、整台物理服务器宕机重启;
同宿主机所有租户虚拟机全部强制下线,网站、数据库、业务系统瞬间断服;
无预警强制重启,内存数据丢失、数据库脏写、文件损坏,引发业务故障与数据丢失;
攻击者可反复持续触发,形成长期持续性攻击,业务永久无法稳定运行。
2. 自身数据、账号、资产被窃取 / 篡改(逃逸提权)
完整利用链可实现虚拟机逃逸,获取宿主机 root 权限,一旦宿主机被攻陷:
读取宿主机磁盘、快照、备份文件,窃取所有租户数据库、源码、用户隐私、支付数据;
篡改其他租户虚拟机磁盘,植入木马、勒索病毒、挖矿程序;
劫持云平台管理接口、后台密钥、数据库连接凭证,批量控制所有客户实例;
横向渗透机房内网,跳板攻击其他宿主机、管理服务器、存储集群。
3. 账号权限越权、租户隔离彻底失效
虚拟化核心安全边界完全破碎,原本不同客户完全隔离的规则失效:
攻击者可直接读写其他虚拟机内存、网络流量;
若云平台使用宿主机统一存储,所有租户数据无任何隔离保护。
为什么选择凌晨修复?就不能再白天修吗?
其实每等1秒,我们就多承担一分风险,我们也想立即修复,鉴于昨天下午和晚上,客户业务处于高峰期,不希望中断客户的业务,我们在凌晨更新,影响可以降低到最低,我们这里虽然是深夜,可是地球另一边是白天,无法兼顾到所有人。
很多漏洞,我们都是通过在线热修来实现的,修复漏洞还要重启所有机器,近几年还是头一次,或许有些人说,有办法不重启也能修复这个漏洞,的确有,但是我们也要考虑成本,重启服务器,耽误10-15分钟,这个成本最低的,对我们来说是最佳解决方案。
我们修复各种漏洞,只是修我们宿主机,不会变更机器内部数据,客户容器内的漏洞由客户自行处理。