The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость в гипервизоре KVM"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость в гипервизоре KVM"  +/
Сообщение от opennews (?), 03-Сен-18, 11:04 
В поставляемом в составе ядра Linux гипервизоре KVM выявлена (http://seclists.org/oss-sec/2018/q3/208) уязвимость (CVE-2018-10853 (https://security-tracker.debian.org/tracker/CVE-2018-10853)), позволяющая непривилегированному пользователю гостевой системы выполнить код с правами ядра в данной гостевой системе.

Проблема вызвана ошибкой в коде эмуляции инструкций sgdt/sidt/fxsave/fxrstor, в котором не выполнялась проверка текущего уровня привилегий, что давало возможность выполнения данных инструкций обычным пользователем для повышения полномочий внутри гостевой системы. Проблема проявляется начиная с ядра 4.10. Патч с исправлением уже принят (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) в состав ядра Linux. Обновления пакетов выпущены для Debian (https://security-tracker.debian.org/tracker/CVE-2018-10853), SUSE, openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2018-10853), Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2018/CVE-2...) и Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1589892). Ядра из состава RHEL  проблеме не подвержены (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2018-10853).


Дополнительно можно упомянуть недавно выявленную (http://seclists.org/oss-sec/2018/q3/184) уязвимость (CVE-2018-14619 (https://security-tracker.debian.org/tracker/CVE-2018-14619)) в криптоподсистеме ядра, которая потенциально позволяет локальному атакующему выполнить свой код с правами ядра Linux. Тем не менее, уязвимость не представляет реальной опасности, так как около 8 месяцев назад была устранена как ошибка и только сейчас стало ясно, что эта проблема представляла угрозу безопасности (уязвимость всплыла после автоматизированного тестирования на наличие use-after-free уязвимостей в старых ядрах).


Уязвимость присутствовала в ядре 4.14 и была устранена (https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...) в обновлении 4.14.8, т.е. в основном ядре просуществовала с 12 ноября по 20 декабря 2017 года. Тем не менее, короткое время уязвимость присутствовала в одном из пакетов с ядром для Fedora Linux и в пакете kernel-alt из состава RHEL для архитектур ARM64, IBM POWER9 (little endian) и IBM z.


URL: http://seclists.org/oss-sec/2018/q3/208
Новость: https://www.opennet.ru/opennews/art.shtml?num=49218

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Уязвимость в гипервизоре KVM"  +11 +/
Сообщение от Поехавший (?), 03-Сен-18, 11:04 
>Ядра из состава RHEL проблеме не подвержены

К слову об энтерпрайсе, который тут почему-то поливают грязью.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость в гипервизоре KVM"  +5 +/
Сообщение от Аноним (-), 03-Сен-18, 12:39 
От зависти и невежества. Кому надо, те знают, что за ядро у шапки, и прекрасно используют.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

10. "Уязвимость в гипервизоре KVM"  –6 +/
Сообщение от Аноним (-), 03-Сен-18, 12:50 
Ваистену поехавший, рхела с ядром 4.10 и новее нет. В 0.9 небось половина штеудовых багов не заработает, присвой и эту фичу успешным партнёрам интырпрайса.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

11. "Уязвимость в гипервизоре KVM"  +2 +/
Сообщение от Crazy Alex (ok), 03-Сен-18, 13:00 
Ты как-то очень наивно сравниваешь версии редхатовских ядер с мейлайном
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

15. "Уязвимость в гипервизоре KVM"  +/
Сообщение от redgad (?), 03-Сен-18, 13:53 
да не, мы на самом деле не большие любители обмазаться свеженьким.
Переходим на новые версии только когда уже действительно что-то важное не удается заставить работать со старой, и бэкпорт нужных фич оказывается невозможным.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

17. "Уязвимость в гипервизоре KVM"  +5 +/
Сообщение от Crazy Alex (ok), 03-Сен-18, 14:00 
Только к этому моменту пол-ядра состит из бэкпорта, что делает сравнение по цифиркам совершенно бессмысленным
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

23. "Уязвимость в гипервизоре KVM"  +1 +/
Сообщение от redgad (?), 03-Сен-18, 21:09 
да нет, с чего вы взяли? "stable api is no sense" - не наш лозунг.
Бэкпортируются драйвера, далеко не все, зачем нам всякий мусор типа rpi, только те что актуальны крупным клиентам, отдельные api, которых хочет докер-шмокер и прочая модная похабень, исправления в поддерживаемых нами (то есть не на букву b) файловых системах, сети и т п. Наоборот в апстрим пихается своя разработка, прежде всего в области xfs - будет оно там работать или развалится - нас не очень колышет, мы засабмитили и бабос заслали, пусть дальше Линус выгребает.

другое дело, что вряд ли средневзятый опеннет-др*чер сможет без подглядывания в гугл назвать принципиальные отличия между vanilla 3.10 и нынешним...каким там - не следим, сорри... 4.8? Или уже 5? 6? Какая, нахрен, разница...

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "Уязвимость в гипервизоре KVM"  –2 +/
Сообщение от Аноним (-), 03-Сен-18, 22:25 
В пятую центось бекпортировали kvm, но это было во времена когда редхет был лидером, а не сидел под мелкой мягкой шконкой.
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

28. "Уязвимость в гипервизоре KVM"  –1 +/
Сообщение от Аноним (-), 03-Сен-18, 22:27 
Извините,в 2.6.18 пятой шапки, конечно же.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

33. "Уязвимость в гипервизоре KVM"  –1 +/
Сообщение от нах (?), 04-Сен-18, 17:07 
наоборот же ж  - когда было что бэкпортировать. btrfs по мнению гадов ненужно, zfs опасно (и в целом работает, пусть и не изкаропке), xfs и современные правки lvm не портируются а наоборот, активно развиваются редгадами и пушатся в апстрим. Чего нынче бэкпортировать-то?

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

14. "Уязвимость в гипервизоре KVM"  +2 +/
Сообщение от Anonimus (??), 03-Сен-18, 13:52 
Все банально просто - это из-за того что "Проблема проявляется начиная с ядра 4.10", а в "энтерпрайзе" более старая версия...
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

18. "Уязвимость в гипервизоре KVM"  +1 +/
Сообщение от SysA (?), 03-Сен-18, 16:33 
Читай внимательно: "...короткое время уязвимость присутствовала ... в пакете kernel-alt из состава RHEL"! ;)

Ну и не забываем о том, что ядра у шапки 3.10, а дырка была в 4.10 - почувствуйте разницу!

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

20. "Уязвимость в гипервизоре KVM"  –1 +/
Сообщение от Попугай Кеша (?), 03-Сен-18, 17:40 
Нет тут причинно-следственной связи. Успокойтесь.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

2. "Уязвимость в гипервизоре KVM"  +16 +/
Сообщение от Шумер (?), 03-Сен-18, 11:04 
Опять в красношапке с древним ядром ничего не работает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Уязвимость в гипервизоре KVM"  +/
Сообщение от Картошкин (?), 03-Сен-18, 11:53 
Дурик, кто же в интерпрайзных сборках на номер версии смотрит?
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Уязвимость в гипервизоре KVM"  –7 +/
Сообщение от Vitaliy Blatsemail (?), 03-Сен-18, 12:27 
> Опять в красношапке с древним ядром ничего не работает.

Какая к черту разница какое ядро на работающей системе ?

Если ты аж настолько специалист, что тебе это важно - для тебя не составит труда скомпилить необходимые новые модули под старое ведро.

Лучше расскажи мне почему 2.6.32 работает шустро как часики, а 4.10 безбожно тормозит.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

7. "Уязвимость в гипервизоре KVM"  +/
Сообщение от Аноним (7), 03-Сен-18, 12:33 
Потому что нихрена не умеет?
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

8. "Уязвимость в гипервизоре KVM"  +1 +/
Сообщение от A.Stahl (ok), 03-Сен-18, 12:34 
>Лучше расскажи мне почему 2.6.32 работает шустро как часики, а 4.10 безбожно тормозит.

Только после того как ты мне расскажешь почему у василисков осенью зелёное оперение на хвосте.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

21. "Уязвимость в гипервизоре KVM"  +1 +/
Сообщение от wergus (?), 03-Сен-18, 19:48 
Тут каждый же знает!
Если у василиска на хвосте перья, а тем более зелёные - что-то пошло не так.
Дебажить нужно и заводить CVE.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

12. "Уязвимость в гипервизоре KVM"  +/
Сообщение от Аноним (12), 03-Сен-18, 13:00 
>скомпилить необходимые новые модули под старое ведро

Сначала их придётся ещё бекпортировать.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

13. "Уязвимость в гипервизоре KVM"  +/
Сообщение от Аноним (13), 03-Сен-18, 13:47 
> Лучше расскажи мне почему 2.6.32 работает шустро как часики, а 4.10 безбожно тормозит.

Из-за регрессий

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

19. "Уязвимость в гипервизоре KVM"  +/
Сообщение от SysA (?), 03-Сен-18, 16:36 
Ты не поверишь, разница есть! В старых ядрах не полностью работают некоторые фишки системД, например...
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

26. "Уязвимость в гипервизоре KVM"  –1 +/
Сообщение от Харитон (?), 03-Сен-18, 22:21 
От беда, а РедХат не знала сие и ввела в 7-й версии системд на старых ядрах...
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

36. "Уязвимость в гипервизоре KVM"  +/
Сообщение от Муха на стекле (?), 11-Сен-18, 14:24 
И не надо
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

24. "Уязвимость в гипервизоре KVM"  –2 +/
Сообщение от redgad (?), 03-Сен-18, 21:17 
12309 жеж!

кстати, успехов вам скомпилировать хоть один новый модуль кроме sekelton.c под 2.6.18
Мы вот быстро сдались.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

29. "Уязвимость в гипервизоре KVM"  +/
Сообщение от vitalif (ok), 04-Сен-18, 01:40 
Почему, был же случай, когда они уязвимости бэкпортировали вместе с кодом драйверов
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Уязвимость в гипервизоре KVM"  –2 +/
Сообщение от rm1 (?), 03-Сен-18, 12:01 
Ссылка под словом "устранена" вообще на что-то не на то.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Уязвимость в гипервизоре KVM"  +2 +/
Сообщение от HyC (?), 03-Сен-18, 13:58 
> Проблема вызвана ошибкой в коде эмуляции инструкций sgdt/sidt/fxsave/fxrstor, в котором не выполнялась проверка текущего уровня привилегий, что давало возможность выполнения данных инструкций обычным пользователем для повышения полномочий внутри гостевой системы

Каким образом это можно сделать ?

Долгое время эти sgdt и sidt были вообще непривилегированные, и никому это особо не мешало, сейчас проверка привелегий зависит от битика UIMP в CR4 и предназначена эта порнография исключительно для скрытия факта виртуализации. В патче как я гляжу просто прибили все намертво гвоздями, причем исключительно к CPL3. По индусски дыру заткнули вобщем.

Ждем ровно тех же граблей с sldt, smsw и str. Тут про них тщательно забыли.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

35. "Уязвимость в гипервизоре KVM"  +/
Сообщение от Муха на стекле (?), 11-Сен-18, 12:34 
Исправили и ладно...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру