פגיעות ב-vhost-net המאפשרת מעקף בידוד במערכות המבוססות על QEMU-KVM

גילה מידע על פגיעות (CVE-2019-14835), המאפשר לך לעבור מעבר למערכת האורחת ב-KVM (qemu-kvm) ולהריץ את הקוד שלך בצד של סביבת המארחת בהקשר של ליבת לינוקס. הפגיעות קיבלה את שם הקוד V-gHost. הבעיה מאפשרת למערכת האורחת ליצור תנאים להצפת חוצץ במודול ליבת vhost-net (גבי רשת עבור virtio), המבוצע בצד של סביבת המארח. ההתקפה יכולה להתבצע על ידי תוקף עם גישה מוסמכת למערכת האורחת במהלך פעולת העברת מחשב וירטואלי.

תיקון הבעיה כלול כלול בליבת Linux 5.3. כפתרון עוקף לחסימת הפגיעות, אתה יכול להשבית את ההגירה בזמן אמת של מערכות אורחים או להשבית את מודול vhost-net (הוסף "blacklist vhost-net" ל-/etc/modprobe.d/blacklist.conf). הבעיה מופיעה החל מגרסת לינוקס 2.6.34. הפגיעות תוקנה ב אובונטו и פדורה, אבל עדיין לא מתוקן ב דביאן, Arch Linux, SUSE и רהל.

מקור: OpenNet.ru