ProHoster > Blog > интернет жаңылыктары > Xen гипервизорундагы 10 аялуу

Xen гипервизорундагы 10 аялуу

Жарыяланган Xen гипервизорундагы 10 алсыздыктар жөнүндө маалымат, анын ичинен бешөө (CVE-2019-17341, CVE-2019-17342, CVE-2019-17340, CVE-2019-17346, CVE-2019-17343) учурдагы конок чөйрөсүнөн чыгууга жана артыкчылыктарыңызды жогорулатууга мүмкүнчүлүк берет, бир аялуу жери (CVE-2019-17347) артыкчылыксыз процесске ошол эле конок системасындагы башка колдонуучулардын процесстерин башкарууга мүмкүндүк берет, калган төртөө (CVE- 2019-17344, CVE- 2019-17345, CVE-2019-17348, CVE-2019-17351) алсыздыктары кызмат көрсөтүүдөн баш тартууга (хост чөйрөнүн кыйрашы) себеп болушу мүмкүн. Чыгармаларда чечилген маселелер Xen 4.12.1, 4.11.2 жана 4.10.4.

  • CVE-2019-17341 — чабуулчу башкарган конок системасынан гипервизордун деңгээлинде кирүү мүмкүнчүлүгү. Көйгөй x86 системаларында гана пайда болот жана коноктордун жаңы PCI түзмөгү иштеп жаткан конок системасына киргизилгенде паравиротуалдаштыруу (PV) режиминде иштеген коноктордон келип чыгышы мүмкүн. Аялуу HVM жана PVH режимдеринде иштеген конок системаларында көрүнбөйт;
  • CVE-2019-17340 - сиздин артыкчылыктарыңызды жогорулатууга же башка конок тутумдарынан берилиштерге жетүүгө мүмкүндүк берүүчү эстутумдун агып кетиши.
    Көйгөй 16 биттик тутумдарда 64 ТБдан ашык оперативдүү эс тутуму жана 168 биттик системаларда 32 ГБ ашык хосттордо пайда болот.
    Аялуулукту PV режиминде конок тутумдарынан гана пайдаланууга болот (libxl аркылуу иштегенде аялуу HVM жана PVH режимдеринде көрүнбөйт);

  • CVE-2019-17346 - кол салуулардан коргоонун натыйжалуулугун жогорулатуу үчүн PCIDди (Процесс контексттик идентификаторлорун) колдонууда аялуу
    Meltdown башка коноктордун дайындарына кирүүгө жана артыкчылыктарыңызды жогорулатууга мүмкүндүк берет. Аялуулукту x86 системаларында PV режиминдеги коноктордон гана пайдаланууга болот (көйгөй HVM жана PVH режимдеринде, ошондой эле PCID иштетилген коноктору жок конфигурацияларда пайда болбойт (PCID демейки боюнча иштетилген));

  • CVE-2019-17342 - XENMEM_exchange гиперчалын ишке ашыруудагы көйгөй бир гана конок системасы бар чөйрөлөрдө артыкчылыктарыңызды жогорулатууга мүмкүндүк берет. Аялуу PV режиминде конок тутумдарынан гана пайдаланылышы мүмкүн (аялуу HVM жана PVH режимдеринде көрүнбөйт);
  • CVE-2019-17343 — IOMMUда туура эмес карта түзүү, конок системасынан физикалык түзүлүшкө кирүү мүмкүнчүлүгү бар болсо, DMA аркылуу өзүнүн эстутум баракчасынын таблицасын өзгөртүүгө жана хост деңгээлинде кирүү мүмкүнчүлүгүн берет. Алсыздык PV режиминде конок системаларында гана пайда болот, эгерде алар PCI түзмөктөрүн багыттоого укуктары болсо.

Source: opennet.ru

Комментарий кошуу