informação sobre (), que permite ir além do sistema convidado no KVM (qemu-kvm) e executar seu código no lado do ambiente host no contexto do kernel Linux. A vulnerabilidade recebeu o codinome V-gHost. O problema permite que o sistema convidado crie condições para um buffer overflow no módulo vhost-net do kernel (backend de rede para virtio), executado no lado do ambiente host. O ataque pode ser realizado por um invasor com acesso privilegiado ao sistema convidado durante uma operação de migração de máquina virtual.
Corrigindo o problema incluído no kernel Linux 5.3. Como soluções alternativas para bloquear a vulnerabilidade, você pode desabilitar a migração ao vivo de sistemas convidados ou desabilitar o módulo vhost-net (adicionar “lista negra vhost-net” a /etc/modprobe.d/blacklist.conf). O problema aparece a partir do kernel Linux 2.6.34. A vulnerabilidade foi corrigida em и , mas ainda permanece sem correção em , , и .
Fonte: opennet.ru