The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

03.05.2017 12:12  Уязвимости в гипервизоре Xen, позволяющие выйти за пределы гостевого окружения

В гипервизоре Xen выявлены три уязвимости (XSA-213, XSA-214 и XSA-215), каждая из которых позволяет выйти за пределы текущего гостевого окружения. Уязвимости также могут использоваться для обхода механизмов изоляции в ОС Qubes. Проблемы выявлены исследователями безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей.

Исправления пока доступны в виде патчей. CVE-идентификатор пока не присвоен. Некоторые провайдеры публичных облачных систем были уведомлены о проблеме две недели назад и уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в список упреждающей отправки уведомлений, рекомендуется срочно установить обновление. Для эксплуатации всех уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра. В качестве обходного пути можно блокировать поддержку загрузки модулей ядра и других механизмов, позволяющих выполнить код на уровне ядра гостевой ОС.

Наиболее опасной из трёх уязвимостей является XSA-213, которая позволяет совершить атаку на хост-систему из любого 64-разрядного гостевого окружения, работающего в режиме паравиртуализации (PV). В результате атаки через манипуляцию с гипервызовом (hypercall) IRET злоумышленник может добиться изменения таблиц страниц памяти и получить доступ ко всей памяти хост-системы. Уязвимость проявляется только на системах x86_64. Платформа ARM, а также 32-разрядные гостевые системы и окружения режиме HVM данной проблеме не подвержены.

Уязвимость XSA-213 отмечается как одна из самых серьёзных ошибок в Xen за последние 8 лет (до этого было выявлено всего 3 ошибки подобного уровня - XSA-148, XSA-182 и XSA-212). Важность проблемы также усугубляет возможность применения стабильно работающего эксплоита, не требующего каких-то особых условий для атаки. Прототип эксплоита уже подготовлен, но не опубликован в открытом доступе. PV-окружения теперь рассматриваются проектом Qubes как ненадёжные и в следующем выпуске Qubes 4.x планируется полностью перейти на окружения в режиме полной изоляции (HVM).

Что касается остальных проблем, то эксплуатация уязвимости XSA-214 требует наличия контроля за двумя разными гостевыми системами, например, одним в режиме PV и одним в режима HVM, или одним 32-разрядным PV и одним 64-разрядным PV. Проблема XSA-215 затрагивает только хост-системы с очень большим объёмом памяти, от 3.5 Тб или 5 Тб ОЗУ, в зависимости от настроек.

  1. Главная ссылка к новости (https://www.qubes-os.org/news/...)
  2. OpenNews: Уязвимость в Xen, позволяющая выйти за пределы гостевой системы
  3. OpenNews: Релиз гипервизора Xen 4.8
  4. OpenNews: Уязвимость в Xen, позволяющая получить доступ к хост-системе
  5. OpenNews: QEMU/KVM и Xen подвержены уязвимости в коде эмуляции VGA
  6. OpenNews: Критическая уязвимость в Xen, позволяющая получить контроль над хост-системой
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: xen
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Линейный вид | Ajax | Показать все | RSS
 
  • 1.3, Аноним, 13:55, 03/05/2017 [ответить] [смотреть все]
  • –5 +/
    Именно и только поэтому мы выбираем kvm, а не xen.
     
     
  • 2.5, iCat, 13:59, 03/05/2017 [^] [ответить] [смотреть все] [показать ветку]
  • +4 +/
    KVM неуязвим!
    Пруфы:
    https://goo.gl/TDQPtw
     
     
  • 3.10, Аноним, 16:52, 03/05/2017 [^] [ответить] [смотреть все]
  • –2 +/
    Уязвимость в xen страшнее чем в kvm.
     
     
  • 4.14, нах, 17:52, 03/05/2017 [^] [ответить] [смотреть все]
  • +/
    да он вообще страшнее!

     
  • 1.13, Аноним, 17:07, 03/05/2017 [ответить] [смотреть все]
  • –1 +/
    Странно, что в Debian jessie ещё прошлую до сих пор не пофиксили https www op... весь текст скрыт [показать]
     
  • 1.15, Нанобот, 18:49, 03/05/2017 [ответить] [смотреть все]  
  • +3 +/
    >PV-окружения теперь рассматриваются проектом Qubes как ненадёжные и в следующем выпуске Qubes 4.x планируется полностью перейти на окружения в режиме полной изоляции (HVM).

    В xen PV безопасность обеспечивается открытым кодом, в HVM - проприетарным микрокодом процессора. В упор не догоню, почему первое считают небезопасным, а второе - безопасным. По-моему вероятность допустить ошибку приблизительно одинакова. Или считают, что закрытый код более безопасный?

     
     
  • 2.17, Stax, 20:30, 03/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    Этого микрокода относительно мало относительно объема кода для PV , поэтому и д... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.23, Ingwarr, 16:04, 04/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    Вы явный оптимист Были, есть и будут Мало того если мы их вычислим при взаи... весь текст скрыт [показать]
     
  • 1.18, PnDx, 20:33, 03/05/2017 [ответить] [смотреть все]  
  • +/
    "PV-окружения теперь рассматриваются проектом Qubes как ненадёжные и в следующем выпуске Qubes 4.x планируется полностью перейти на окружения в режиме полной изоляции (HVM)."
    Хе-хе. Что-то Яну занесло. В довесок получить весь долбаный legacy из qemu?
    Пример: посмотрите на реализацию i8042 (если не вру). Что там в прошлый раз было? Флоповод? Часики (на которые hwclock смотрит) на очереди. (Qemu не виноват, что его назначили промышленным гипервизором, не вычистив код. Но результаты расхлёбываю в т.ч. я.)
     
     
  • 2.21, Аноним, 08:25, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Флопповод на i8042? Насколько помню, контроллер FDD это i82077.
     
  • 1.19, Аноним, 22:29, 03/05/2017 [ответить] [смотреть все]  
  • +/
    А разве в Qubes приложения в PV запускаются от рута Насколько я понял, XSA-213 ... весь текст скрыт [показать]
     
     
  • 2.20, Аноним, 08:09, 04/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    Если честно, я тоже не совсем понял смысл фразы Рутковской This means that if ... весь текст скрыт [показать] [показать ветку]
     
     
  • 3.22, Аноним, 08:59, 04/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Потому что только школьники считают, что браузер не ломается Или не ломается он... весь текст скрыт [показать]
     
     
  • 4.28, Аноним, 08:16, 07/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    И как это вы получите рута в полупустом контейнере на обновлённой системе, в кот... весь текст скрыт [показать]
     
  • 3.26, Ordu, 22:58, 05/05/2017 [^] [ответить] [смотреть все]  
  • –1 +/
    Потому, что -- сюрприз -- Рутковски не доверяет разграничениям доступа для проце... весь текст скрыт [показать]
     
  • 3.27, adfsa, 08:03, 07/05/2017 [^] [ответить] [смотреть все]  
  • +/
    потому что в qubes нет паролья на sudo по-умолчанию
     
     
  • 4.29, Аноним, 08:18, 07/05/2017 [^] [ответить] [смотреть все]  
  • +1 +/
    вы qubes c чем-то путайте ... весь текст скрыт [показать]
     
  • 1.24, fa, 10:00, 05/05/2017 [ответить] [смотреть все]  
  • –1 +/
    Интересно, что делает Amazon, когда появляются такие новости. Обновляют, перезагружают все свои датацентры?
     
     
  • 2.25, PnDx, 11:05, 05/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    ±Вот это https://support.citrix.com/article/CTX132791
     
  • 2.30, нах, 15:11, 10/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • –1 +/
    то же, что и когда такие не появляются - да, обновляют, штатная процедура Сод... весь текст скрыт [показать] [показать ветку]
     
  • 2.31, Аноним, 03:49, 15/05/2017 [^] [ответить] [смотреть все] [показать ветку]  
  • +/
    В общем-то да, у них явно есть live migration. Дайунтайм будет минимальным.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2017 by Maxim Chirkov  
    ДобавитьРекламаВебмастеруГИД  
    Hosting by Ihor