Vhost-net में भेद्यता जो QEMU-KVM पर आधारित सिस्टम में आइसोलेशन बायपास की अनुमति देती है

दिखाया गया के बारे में जानकारी कमजोरियों (CVE-2019-14835), जो आपको KVM (qemu-kvm) में अतिथि सिस्टम से आगे जाने और लिनक्स कर्नेल के संदर्भ में होस्ट वातावरण के किनारे अपना कोड चलाने की अनुमति देता है। इस भेद्यता को कोडनेम V-gHost दिया गया है। समस्या अतिथि सिस्टम को होस्ट वातावरण के पक्ष में निष्पादित vhost-net कर्नेल मॉड्यूल (virtio के लिए नेटवर्क बैकएंड) में बफर ओवरफ्लो के लिए स्थितियां बनाने की अनुमति देती है। वर्चुअल मशीन माइग्रेशन ऑपरेशन के दौरान अतिथि सिस्टम तक विशेषाधिकार प्राप्त पहुंच वाले हमलावर द्वारा हमला किया जा सकता है।

समस्या का समाधान शामिल लिनक्स 5.3 कर्नेल में शामिल है। भेद्यता को रोकने के लिए समाधान के रूप में, आप अतिथि सिस्टम के लाइव माइग्रेशन को अक्षम कर सकते हैं या vhost-net मॉड्यूल को अक्षम कर सकते हैं ("ब्लैकलिस्ट vhost-net" को /etc/modprobe.d/blacklist.conf में जोड़ें)। समस्या Linux कर्नेल 2.6.34 से प्रारंभ होती हुई प्रतीत होती है। भेद्यता को ठीक कर दिया गया है Ubuntu и फेडोरा, लेकिन अभी भी इसमें सुधार नहीं हुआ है डेबियन, आर्क लिनक्स, SUSE и RHEL.

स्रोत: opennet.ru