დაუცველობა vhost-net-ში, რომელიც იძლევა იზოლაციის შემოვლების საშუალებას QEMU-KVM-ზე დაფუძნებულ სისტემებში

გამოავლინა შესახებ ინფორმაცია სისუსტეები (CVE-2019-14835), რომელიც საშუალებას გაძლევთ გასცდეთ სტუმრების სისტემას KVM-ში (qemu-kvm) და გაუშვათ თქვენი კოდი ჰოსტის გარემოს მხარეს Linux-ის ბირთვის კონტექსტში. დაუცველობას ეწოდა კოდის სახელი V-gHost. პრობლემა საშუალებას აძლევს სტუმრის სისტემას შექმნას პირობები ბუფერის გადადინებისთვის vhost-net kernel მოდულში (ქსელის backend for virtio), რომელიც შესრულებულია ჰოსტის გარემოს მხარეს. შეტევა შეიძლება განხორციელდეს თავდამსხმელის მიერ, რომელსაც აქვს სტუმრის სისტემაზე პრივილეგირებული წვდომა ვირტუალური მანქანის მიგრაციის ოპერაციის დროს.

პრობლემის გამოსწორება შედის შედის Linux 5.3 ბირთვში. დაუცველობის დაბლოკვის გამოსავლის გამოსავალად, შეგიძლიათ გამორთოთ სტუმრის სისტემების პირდაპირი მიგრაცია ან გამორთოთ vhost-net მოდული (დაამატეთ „შავი სია vhost-net“ /etc/modprobe.d/blacklist.conf). პრობლემა ჩნდება Linux kernel 2.6.34-დან დაწყებული. დაუცველობა დაფიქსირდა Ubuntu и Fedora, მაგრამ მაინც შეუსწორებელი რჩება Debian, Arch Linux, სუსე и rhel.

წყარო: opennet.ru