QEMUtiny - уязвимости в QEMU, позволяющие получить доступ к хост-окружению из гостевой системы

15.05.2026 19:19 (MSK)

Исследователи, которые на днях выявили уязвимость Fragnesia в ядре Linux, опубликовали информацию об уязвимостях в QEMU, позволяющих из гостевой системы получить root-доступ к хост-окружению. Проблеме присвоено кодовое имя QEMUtiny, но CVE-идентификатор пока не назначен. Подготовлен эксплоит, в котором задействованы две уязвимости в коде эмуляции устройства CXL (Compute Express Link).

Обе уязвимости присутствуют в коде cxl-mailbox-utils.c. Первая уязвимость проявляется начиная с выпуска QEMU 7.1.0 и приводит к чтению памяти из области вне выделенного буфера из-за того, что функция cmd_logs_get_log() ошибочно трактует запрошенное смещение CEL-лога как индекс в массиве, в то время как оно задаётся в байтах. Вторая уязвимость проявляется начиная с QEMU 11.0.0 и приводит к переполнению буфера в функции cmd_features_set_feature() из-за обработки смещения на структуры при записи атрибутов без проверки, что вычисленное значение "offset + bytes_to_copy" укладывается в размер выбранной структуры.

Фактически атака возможна только на последнюю ветку QEMU 11.0.0. Об исправлении пока ничего не сообщается, указано только, что перед раскрытием уязвимости, информация о ней была передана разработчикам QEMU, которые ответили, что поддержка устройства CXL в QEMU реализована не для использования при виртуализации.

Эксплоит проверен с кодовой базой QEMU от 11 мая с последним коммитом 5e61afe. Работа эксплоита завязана на раскладку структур в памяти каждой конкретной сборки QEMU и системной libc, но по мнению исследователей, воспользовавшись для сканирования памяти уязвимостью, приводящей к чтению из области вне буфера, можно создать универсальный эксплоит, работающий с разными версиями QEMU.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65456-qemu

Ключевые слова: qemu

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (33)

1.1, Анонимище (?), 19:53, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Это с помощью LLM открыли или по старинке?

2.3, Аноним (3), 20:13, 15/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
сейчас по старинке даже статьи и новости никто не пишет, а искать уязвимости самому, без помощи нейронок, это прям лудизм какой-то

3.23, Аноним (23), 22:12, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
> а искать уязвимости самому, без помощи нейронок, это прям лудизм Сейчас разработчики даже думать не умеют без нейронок. И раньше отношение к QEMU было посредственное, а теперь - тем более.

1.2, Аноним (2), 19:58, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Когда прекратится эта свистопляска?

2.6, Rev (ok), 20:23, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
Когда все уязвимости пофиксят. Их за десятки лет тучу нафигачили.

3.24, Аноним (23), 22:13, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
Но вносят их быстрее, чем исправляют. Сказывается стратегия непрерывного внесения обновлений без разницы, нужны они или нет. Прошло 3 недели - нате обновление.

2.9, L29Ah (ok), 20:25, 15/05/2026 [^] [^^] [^^^] [ответить]	–2 +/–
Когда наконец откажутся от небезопасных ЯП.

3.14, Аноним (14), 20:47, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
Не поможет. sudo-rs и uutils тому свидетельства. Мир зол и несправедлив, серебрянной пули не существует, ошибок нет только в абсолютно беспрлезных программах.

4.33, Аноним (33), 22:48, 15/05/2026 [^] [^^] [^^^] [ответить]

+/–

> Не поможет. sudo-rs и uutils тому свидетельства.

А что, там тоже дыры типа "чтение памяти из области вне выделенного буфера"?

> ошибок нет только в абсолютно беспрлезных программах.

Ошибки работы с памятью есть практически сугубо в C и C++ коде. Это даже безотносительно Раста.

5.37, Аноним (-), 22:53, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
> Ошибки работы с памятью есть практически сугубо в C и C++ коде. Это даже безотносительно Раста. А 123 CVE за присест нашли - вот - в rust coreutils. Почему-то. Походу педалирование 1 класса багов и упование что компилер подумает за програмера - от вулнов почему-то не спасает. Надо же фигня какая...

3.25, Аноним (23), 22:14, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
На практике всё наоборот получилось: чем больше времени уделяют расту, тем больше сыпется вся система.

3.36, qqq (??), 22:52, 15/05/2026 Скрыто ботом-модератором [к модератору]	+/–

1.5, Аноним (3), 20:17, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
сейчас самое время начать продавать агента, который будет в реальном времени следить за подобными новостями, анализировать предлагаемые mitigation's, накладывать патчи, обновлять системы

2.8, Аноним (8), 20:24, 15/05/2026 [^] [^^] [^^^] [ответить]	+3 +/–
…или заниматься иными вещами.

2.22, Аноним (22), 22:06, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
openclaw можно легко под такое заточить. Но его самого лучше запускать в виртуалке с дисками под ZFS, чтобы через него самого не пролезло что-то нехорошее и можно было бы откатиться после rm -rf / :)

3.35, Аноним (-), 22:52, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
> openclaw можно легко под такое заточить. Но его самого лучше запускать > в виртуалке с дисками под ZFS, чтобы через него самого не пролезло что-то > нехорошее и можно было бы откатиться после rm -rf / :) Лучше btrfs - ибо с out of tree выкидышем вы при таком раскладе и озверении AI по части вулнов будете больше сидеть с дырами чем все остальное, ожидая пока ZFS допилят под новый кернел.

1.7, King_Carlo (ok), 20:24, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+4 +/–
Умные уже давно перешли на локальные инфраструктуры, а не очень умные до сих пор сидят в облаках.

2.10, Аноним (8), 20:25, 15/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Умные пользуются подкроватным сервером, а не очень умные зарабатывают деньги.

3.11, King_Carlo (ok), 20:34, 15/05/2026 [^] [^^] [^^^] [ответить]	–2 +/–
Во как у вас в деревне всё устроено, "локальная инфраструктура" = "подкроватный сервер". Записал в книжечку под рубрикой "селюковое IT".

4.15, Аноним (15), 20:48, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
Ну так обычно у местных "локальная инфраструктура" - это оно и есть. Не надо щеки надувать, тут 70% троллей виндузятников и 29% подкроватников сидит. Локальные инфраструктуры на коредуба поднимают.

5.20, Аноним (20), 21:49, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
А оставшийся 1% - кто?

1.12, Аноним (12), 20:43, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кучно пошли. Видимо подходы к безопасности снова нужно пересматривать. И сложность систем станет больше.

2.16, Colorado_House_of_Representatives (?), 20:52, 15/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
> И сложность систем станет больше. Так наоборот, надо упрощать системы. Чем сложнее, тем труднее сопровождать, труднее охватить всё разом, больше точек отказа.

2.26, Аноним (23), 22:17, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
> подходы к безопасности снова нужно пересматривать Устарел уже Линус, вот Джобс в его годы уже отошёл от разработки.

1.13, Colorado_House_of_Representatives (?), 20:47, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
Помнится в прошлой новости меня тыкали, дескать, openbsd небезопасна, притащив старую уязвимость в качестве аргумента. Вот и ответ прилетел (:

2.34, Аноним (-), 22:50, 15/05/2026 [^] [^^] [^^^] [ответить]

+/–

> Помнится в прошлой новости меня тыкали, дескать, openbsd небезопасна,
> притащив старую уязвимость в качестве аргумента. Вот и ответ прилетел (:

Жидковат ответик то вышел. Там прям в кернел мод из гуеста тупым багом с правами страниц - и потом шоу "...и еще тупее" когда его еще и починить с 1 раза нормально не смогли.

А тут - какой-то экзот в сильно не дефолтной конфиге которого надо еще сначала явно добавить. В общем какой-то асиметричный ответ... :)

1.17, Аноним (17), 20:53, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Итого два чтения памяти из области вне выделенного буфера которые жили несколько лет. Конечно это просто случайность и совершенно не связано с языком программирования, на котором написан проект.

1.18, Аноним (18), 21:06, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Из новости не ясно, работает ли эксплоит в любой конфигурации QEMU, или только если в машину добавлены CXL-устройства

2.21, Хру (?), 21:55, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
Думаю, если бы работало в дефолте, разработчики QEMU попросили бы эмбарго.

2.32, Аноним (-), 22:47, 15/05/2026 [^] [^^] [^^^] [ответить]

+/–

> Из новости не ясно, работает ли эксплоит в любой конфигурации QEMU, или
> только если в машину добавлены CXL-устройства

Ну как бы если вулн в эмуляторе CXL - как ты его огревать будешь, если этот девайс не добавлен в виртуалку? Огревать эксплойтом тупо ж нечего?!

Так что походу новость вида "в черном черном городе, в полночь високосного года, в полнолуние, вас может зашибить толи дубом, толи упавшей цепью, толи кот вас подерет, но в общем надо очень постараться - и вообще сначала хорошенько наступить этому коту на хвост"

1.27, Аноним (27), 22:29, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я откатился с последней версии QEMU, ибо там тупо не работает гипервизор. Там чето сказано в релиз ноутах про улучшение поддержки гипервизоров. Классное улучшение, че. Мб вообще откачусь на 8ю, ибо там вообще все работало, а сейчас половина моих виртуалок не работает.

2.31, Аноним (-), 22:44, 15/05/2026 [^] [^^] [^^^] [ответить]	+/–
> Я откатился с последней версии QEMU, ибо там тупо не работает гипервизор. Что значит - не работает гипервизор? Обычно его вообще ОС предоставляет. В линухе это KVM как правило. И таки работает вроде все.

1.30, Аноним (-), 22:43, 15/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
> две уязвимости в коде эмуляции устройства CXL (Compute Express Link). А, ну то есть все в лучших традициях - сотни хайпа, ужас-ужас и ... чтобы это реально огреть надо экзотичный конфиг, которым почти никто не пользуется (все юзают virtio как правило, если нет особых соображений). Как всегда.

игнорирование участников | лог модерирования

Добавить комментарий

Текст: