The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Уязвимость, позволяющая выйти из изолированного окружения QEMU"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Уязвимость, позволяющая выйти из изолированного окружения QEMU"  +/
Сообщение от opennews (??), 23-Авг-19, 11:20 
Раскрыты (https://blog.bi0s.in/2019/08/20/Pwn/VM-Escape/2019-07-29-qem.../) детали критической уязвимости (CVE-2019-14378 (https://security-tracker.debian.org/tracker/CVE-2019-14378)) в обработчике SLIRP, по умолчанию применяемом в QEMU для организации канала связи между виртуальным сетевым адаптером в гостевой системе и сетевым бэкендом на стороне QEMU. Проблема также затрагивает системы виртуализации на базе KVM (в режиме Usermode (https://www.linux-kvm.org/page/Networking)) и Virtualbox, в которых используются бэкенд slirp из QEMU, а также приложения, применяющие сетевой стек в пространстве пользователя libSLIRP (https://github.com/rd235/libslirp) (эмулятор TCP/IP).

Уязвимость позволяет добиться выполнение кода на стороне хост-системы с правами процесса-обработчика QEMU при отправки со стороны гостевой системы специально оформленного очень большого сетевого пакета, для которого требуется проведение фрагментации. Из-за ошибки в функции ip_reass(), вызываемой при пересборке входящих пакетов, первый фрагмент  может не уместится в выделенный буфер и его хвост будет записан в следующие за буфером области памяти. Для тестирования уже доступен (https://github.com/vishnudevtj/exploits/tree/master/qemu/CVE...) рабочий прототип эксплоита, в котором в том числе предусмотрен обход ASLR.

Уязвимость уже устранена в Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1735654) и SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-14378), но остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-14378), Arch Linux (https://security.archlinux.org/CVE-2019-14378) и FreeBSD (http://www.vuxml.org/freebsd/). В Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2...) и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14378) проблема не проявляется из-за неиспользования slirp. Уязвимость остаётся неисправленой в последнем выпуске libslirp 4.0 (https://gitlab.freedesktop.org/slirp/libslirp/-/releases) (исправление пока доступно в виде патча (https://gitlab.freedesktop.org/slirp/libslirp/commit/126c04a...)).

URL: https://blog.bi0s.in/2019/08/20/Pwn/VM-Escape/2019-07-29-qem.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=51343

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения [Сортировка по времени | RSS]


1. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +15 +/
Сообщение от Аноним (1), 23-Авг-19, 11:20 
Короче говоря, пора уже привыкнуть к тому, что виртуализация не есть изоляция.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  –1 +/
Сообщение от mumu (ok), 23-Авг-19, 11:26 
Да. Думаю практически у всех (за редким исключением) вся безопасность построена на том, что нельзя выйти из контейнера в хостовую систему.
А сейчас уже приходится делать чуть ли не по отдельному датацентру на каждую DMZ. Это капец как накладно и мало кто такое может потянуть.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

7. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +7 +/
Сообщение от Аноним (7), 23-Авг-19, 12:11 
по этому нужно виртуалку запускать в виртуалке. что бы ломателю не скучно было
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

24. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  –2 +/
Сообщение от Корец (?), 23-Авг-19, 18:39 
Я же говорил, что вместо процов надо ставить FPGA! Во-первых, можно будет исправлять любые аппаратные уязвимости, а во-вторых, можно будет реализовать аппаратные контейнеры.
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

26. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от Hewlett Packard (?), 23-Авг-19, 23:12 
И цены на аккумуляторы упадут еще сильнее, их ведь, если во всей мобильной технике заменить CPU на FPGA, потребуется в десятки раз больше.
Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

8. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +6 +/
Сообщение от Тупой погроммист (?), 23-Авг-19, 12:22 
SLIRP на серверах с виртуалками не используют - он медленный и не может слушать порты (без дополнительной настройки). Он для тех, кому лень настроить бридж (домашние пользователи) или нет возможности настроить систему из под рута (CI). Вообщем, тут мимо.
P.S. Redhat-овский buildah & podman (рекламируемый как "более безопасный docker"), кстати, тоже по-дефолту SLIRP для контейнеров использует.
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

14. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  –1 +/
Сообщение от mumu (ok), 23-Авг-19, 13:18 
Где одно там и другое. Тут важен сам факт такой возможности и что это не что-то там заоблачное. Уязвимость в vmxnet3 многих заставила пересмотреть всю архитектуру ИБ и наплодить буферных зон там, где их раньше не было.
Когда все топили за виртуализацию году в 2006-м вообще никто предположить не мог (ну или я один такой наивный был), что выход из гостевой VM физически возможен. Это казалось святым граалем в плане изоляции недоверенных сред.
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

15. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от пох. (?), 23-Авг-19, 13:38 
один. Мы и в 2008м физически разделяли закрытые и открытые сервисы - не просто не смешивая их на соседних виртуалках, а вообще в разных стойках и на разном сетевом оборудовании (да, никаких "грязных" вланов на том же свитче, на котором крутятся внутренние сервисы)

> Это казалось святым граалем в плане изоляции недоверенных сред.

ну надеюсь теперь-то поняли, что это просто еще один презерватив, надетый на свечку?

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

17. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  –1 +/
Сообщение от mumu (ok), 23-Авг-19, 14:32 
С SDN и всякой гиперконвергентностью всё стало гораздо запутанней. Не буду же я отдельный Cisco ACI под разные среды поднимать. Ладно, суёшь в целые отдельные тенанты. А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"...
И зачем нужен vmware NSX, если всё железными коммутами отбивать. Тут приходится идти на компромиссы.
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

18. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от пох. (?), 23-Авг-19, 14:38 
> А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"...

ну вот по этой причине - презервативов на свечке должно быть поболее одного.

(причем при большом желании все равно поимеют, так или иначе)

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

25. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от mickvav (?), 23-Авг-19, 19:14 
Imho, тут так - виртуалки - неплохой способ отделить незлонамеренных бакланов друг от друга. Не более.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

27. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от пох. (?), 24-Авг-19, 09:19 
"днем-то он мирный абрикос, а ночью - дикий урюк!" поломали очередной врот-пресс, и вместо незлонамеренного резвится стая любителей свежих эксплойтов.

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

31. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  –3 +/
Сообщение от G0Dzillaemail (ok), 25-Авг-19, 13:12 
Вы на полном серьезе считаете вмтварь виртуализацией? Мне страшно за вас.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

3. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от leap42 (ok), 23-Авг-19, 11:33 
так это давно понятно, поэтому связка из libvirt+qemu+kvm легко и приятно подхватывает SELinux или AppArmor. буквально надо 2 строчки в конфиге поправить для суровой изоляции.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

6. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +4 +/
Сообщение от Аноним (6), 23-Авг-19, 11:45 
Вполне себе изоляция с определенным степенем надежности.
Одна серьезная уязвимость в qemu в раз полгода - лучше, нежели поддержка зоопарка вроде бы изолированных серверов с потенциальными аппаратными уязвимостям, которые пофиксятся только апдейтом железа.
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

29. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от Аноним (-), 24-Авг-19, 20:17 
Дыры в qemu не отменяют аппаратных дыр.
Виртуализация не решает никаких проблем безопасности, только создаёт дополнительные.
Другой вопрос, что иногда без виртуализации прикладные проблемы решать неудобно. Поэтому приходится мириться с дополнительными потенциальными проблемами в безопасности.
Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  –2 +/
Сообщение от Leo90 (?), 23-Авг-19, 12:29 
ага, как не пытаются просто закрыть глаза и писать свой г-код без оглядки на безопастноить, да и вобще, без оглядки, все никак не получится..
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  –3 +/
Сообщение от advisor (ok), 23-Авг-19, 11:40 
о хоть где-то плюс убунты. а то я уже хотел уходить с нее.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +3 +/
Сообщение от Аноним (5), 23-Авг-19, 11:44 
> Из-за ошибки в функции ip_reass(),

А вот называли бы функции менее ругательно -- и ошибки поди не допустили бы:)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

9. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +1 +/
Сообщение от пох. (?), 23-Авг-19, 12:22 
наоборот - так она прошла бы sjw контроль, и была бы и в убунте тоже
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

11. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от Аноним (11), 23-Авг-19, 13:05 
Нет бесплатного сыра. Дешево, в адекекватные сроки (не 10 лет), безопасно. Выберете что-то одно.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

13. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  –2 +/
Сообщение от Аноним (13), 23-Авг-19, 13:15 
Бесплатный сыр ЕСТЬ — в нетоварной экономике, например в opensource.
Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

22. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  –1 +/
Сообщение от OpenEcho (?), 23-Авг-19, 16:53 
>например в opensource

Где все более менее крупные проекты живут за счет вливаний от большого бизнеса, а как известно, - кто девушку поит, то ее и танцует

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

28. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  –1 +/
Сообщение от пох. (?), 24-Авг-19, 09:23 
а некрупные выживают на donate и тааакой рекламе, с которой уже даже гугель борется, потому что она позорит его бизнес.

А о "нетоварной экономике" рассказывают только те, кто бесплатный сыр потом жрет с лопаты, не слишком брезгуя.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

30. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от Аноним (-), 24-Авг-19, 22:00 
> потому что она позорит его бизнес.

Ну вот, как говорят мудрые люди, и на старуху найдется проруха.

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

12. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +1 +/
Сообщение от Аноним (12), 23-Авг-19, 13:13 
Proxmox уязвим?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

16. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +2 +/
Сообщение от Мертвые_опята (?), 23-Авг-19, 14:16 
Не должен. В продакшене slirp не используют
Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

19. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  –1 +/
Сообщение от анонн (ok), 23-Авг-19, 15:02 
> но остаётся неисправленной в Debian, Arch Linux и FreeBSD


# ipfw list|head
00100 reass ip from any to any in

Удачи проэксплуатировать.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

32. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от Аноним (32), 26-Авг-19, 01:21 
На, жри кактус: https://www.opennet.ru/opennews/art.shtml?num=39674
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

33. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от анонн (ok), 26-Авг-19, 12:23 
> На, жри кактус: https://www.opennet.ru/opennews/art.shtml?num=39674

Т.е. ты не в курсе, чем TCP-фрагментация "out-of-order" отличается от фрагментации "больших" IP-пакетов или к чему эта ссылка (которую ты похоже даже и не читал толком)?
> It is possible to defend to these attacks by doing traffic normalization
> using a firewall.  This can be done by including the following /etc/pf.conf
> configuration:
>    scrub in all

Кстати, уязвимости только этого года у "некактосов":
https://www.cvedetails.com/cve/CVE-2019-11683/
https://www.cvedetails.com/cve/CVE-2019-11479/
https://www.cvedetails.com/cve/CVE-2019-11815/
но ты продолжай, продолжай.

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

20. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +1 +/
Сообщение от Дон Ягон (ok), 23-Авг-19, 15:11 
Не могу не вспомнить прекрасное:
"You are absolutely deluded, if not stupid, if you think that a
worldwide collection of software engineers who can't write operating
systems or applications without security holes, can then turn around
and suddenly write virtualization layers without security holes."

(https://marc.info/?l=openbsd-misc&m=119318909016582)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

21. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от Аноним (21), 23-Авг-19, 16:19 
В CentOS 7 эксплойт таки работает: процесс qemu падает.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Уязвимость, позволяющая выйти из изолированного окружения QE..."  +/
Сообщение от Аноним (23), 23-Авг-19, 16:58 
А калькулятор/другое тестовое приложение запускается?
Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Слёрм
Inferno Solutions
Hosting by Ihor
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2019 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру