相关信息 (),它允许您超越 KVM (qemu-kvm) 中的来宾系统,并在 Linux 内核上下文中的主机环境一侧运行代码。 该漏洞的代号为V-gHost。 该问题允许客户系统为在主机环境一侧执行的 vhost-net 内核模块(virtio 的网络后端)中的缓冲区溢出创造条件。 在虚拟机迁移操作期间,具有来宾系统特权访问权限的攻击者可以执行此攻击。
解决问题 包含在 Linux 5.3 内核中。 作为阻止该漏洞的解决方法,您可以禁用来宾系统的实时迁移或禁用 vhost-net 模块(将“blacklist vhost-net”添加到 /etc/modprobe.d/blacklist.conf)。 从 Linux 内核 2.6.34 开始出现该问题。 该漏洞已修复 и ,但仍未修正 , , и .
来源: opennet.ru