ProHoster > blog > berita internet > Kerentanan di vhost-net yang memungkinkan bypass isolasi dalam sistem berbasis QEMU-KVM
Kerentanan di vhost-net yang memungkinkan bypass isolasi dalam sistem berbasis QEMU-KVM
Terungkap informasi tentang kerentanan (CVE-2019-14835), yang memungkinkan Anda melampaui sistem tamu di KVM (qemu-kvm) dan menjalankan kode Anda di sisi lingkungan host dalam konteks kernel Linux. Kerentanan tersebut diberi nama kode V-gHost. Masalahnya memungkinkan sistem tamu untuk membuat kondisi untuk buffer overflow di modul kernel vhost-net (backend jaringan untuk virtio), yang dijalankan di sisi lingkungan host. Serangan tersebut dapat dilakukan oleh penyerang dengan akses istimewa ke sistem tamu selama operasi migrasi mesin virtual.
Memperbaiki Masalah termasuk termasuk dalam kernel Linux 5.3. Sebagai solusi untuk memblokir kerentanan, Anda dapat menonaktifkan migrasi langsung sistem tamu atau menonaktifkan modul vhost-net (tambahkan βdaftar hitam vhost-netβ ke /etc/modprobe.d/blacklist.conf). Masalah muncul mulai dari kernel Linux 2.6.34. Kerentanan telah diperbaiki Ubuntu ΠΈ Fedora, tetapi masih belum diperbaiki Debian, Arch Linux, SUSE ΠΈ RHEL.