Vulnerabilità in vhost-net che consente di eludere l'isolamento nei sistemi basati su QEMU-KVM

Rivelata informazione su vulnerabilità (CVE-2019-14835), che permette di uscire dal sistema guest in KVM (qemu-kvm) e di eseguire codice nel contesto del kernel Linux nell'ambiente host. Questa vulnerabilità è stata soprannominata V-gHost. Il problema consente di creare condizioni per un overflow del buffer nel modulo del kernel vhost-net (backend di rete per virtio), eseguito sull'ambiente host. Un attaccante con accesso privilegiato al sistema guest può sfruttare questa vulnerabilità durante l'operazione di migrazione delle macchine virtuali.

Correzione del problema incluso nel kernel Linux 5.3. Come misure di mitigazione della vulnerabilità, è possibile vietare la migrazione live dei sistemi guest o disabilitare il modulo vhost-net (aggiungere 'blacklist vhost-net' in /etc/modprobe.d/blacklist.conf). Il problema si manifesta a partire dal kernel Linux 2.6.34. La vulnerabilità è stata risolta in Ubuntu e Fedora, ma rimane irrisolta in Debian, Arch Linux, SUSE e RHEL.

Fonte: opennet.ru

Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server 🔥 Acquista hosting affidabile per siti web con protezione DDoS, VPS VDS server | ProHoster