QEMU-KVM 기반 시스템에서 격리 우회를 허용하는 vhost-net의 취약점

노출된 에 대한 정보 취약점 (CVE-2019-14835)를 사용하면 KVM(qemu-kvm)의 게스트 시스템을 넘어 Linux 커널 컨텍스트의 호스트 환경 측에서 코드를 실행할 수 있습니다. 이 취약점의 코드명은 V-gHost입니다. 이 문제로 인해 게스트 시스템은 호스트 환경 측에서 실행되는 vhost-net 커널 모듈(virtio용 네트워크 백엔드)에서 버퍼 오버플로에 대한 조건을 생성할 수 있습니다. 가상 머신 마이그레이션 작업 중에 게스트 시스템에 대한 액세스 권한을 가진 공격자가 공격을 수행할 수 있습니다.

문제 해결 포함 Linux 5.3 커널에 포함되어 있습니다. 취약점을 차단하기 위한 해결 방법으로 게스트 시스템의 실시간 마이그레이션을 비활성화하거나 vhost-net 모듈을 비활성화할 수 있습니다(/etc/modprobe.d/blacklist.conf에 "blacklist vhost-net" 추가). 이 문제는 Linux 커널 2.6.34부터 나타납니다. 취약점은 다음에서 수정되었습니다. Ubuntu и 페도라, 그러나 여전히 수정되지 않은 상태로 남아 있습니다. 데비안, 아치 리눅스, SUSE и RHEL.

출처 : opennet.ru