QEMU-KVM मा आधारित प्रणालीहरूमा अलगाव बाइपास अनुमति दिने vhost-net मा जोखिम

खुलासा गरियो बारे जानकारी कमजोरीहरू (CVE-2019-14835), जसले तपाइँलाई KVM (qemu-kvm) मा अतिथि प्रणाली भन्दा बाहिर जान र लिनक्स कर्नेलको सन्दर्भमा होस्ट वातावरणको छेउमा तपाइँको कोड चलाउन अनुमति दिन्छ। भेद्यतालाई V-gHost कोड नाम दिइएको छ। समस्याले अतिथि प्रणालीलाई vhost-net कर्नेल मोड्युल (virtio को लागी नेटवर्क ब्याकइन्ड) मा बफर ओभरफ्लोको लागि सर्तहरू सिर्जना गर्न अनुमति दिन्छ, होस्ट वातावरणको छेउमा कार्यान्वयन गरिन्छ। भर्चुअल मेसिन माइग्रेसन सञ्चालनको क्रममा अतिथि प्रणालीमा विशेषाधिकार प्राप्त पहुँच भएको आक्रमणकारीद्वारा आक्रमण गर्न सकिन्छ।

समस्या समाधान गर्दै समावेश लिनक्स 5.3 कर्नेल मा समावेश। भेद्यतालाई रोक्नको लागि समाधानको रूपमा, तपाइँ अतिथि प्रणालीहरूको लाइभ माइग्रेसन असक्षम गर्न सक्नुहुन्छ वा vhost-net मोड्युल असक्षम गर्न सक्नुहुन्छ (/etc/modprobe.d/blacklist.conf मा "ब्ल्याकलिस्ट vhost-net" थप्नुहोस्)। समस्या लिनक्स कर्नेल 2.6.34 बाट सुरु भएको देखिन्छ। मा कमजोरी फिक्स गरिएको छ Ubuntu и फेडोरा, तर अझै पनि असुधारित रहन्छ Debian, आर्क लिनक्स, सुसे и RHEL.

स्रोत: opennet.ru