ClickCease QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape-Schwachstelle - TuxCare

Abonnieren Sie unseren beliebten Newsletter

Schließen Sie sich 4.500+ Linux- und Open-Source-Experten an!

2x im Monat. Kein Spam.

QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape-Schwachstelle

17. September 2019. TuxCare PR Team

QEMU

Das KernelCare-Team verfolgt die Entwicklungen bei einer kürzlich gemeldeten Sicherheitslücke, die QEMU-KVM-Gäste mit Linux-Kernel betrifft.

Die Sicherheitslücke wurde vom Blade-Team bei Tencent gemeldet und erhielt die Registrierung CVE-2019-14835. Sie funktioniert wie folgt.

Virtuelle Instanzen von QEMU-KVM, die das vhost/vhost_net-Netzwerk-Backend nutzen, verwenden einen Kernel-Puffer, um ein Protokoll der schmutzigen Seiten zu führen. Die Grenzen dieses Protokolls werden vom Kernel nicht überprüft und können zum Überlaufen gebracht werden, indem die virtuelle Maschine gezwungen wird, zu migrieren.

Dies kann passieren, wenn die VM in der Cloud gehostet wird und einen vorübergehenden Ressourcenanstieg oder ein Speicherleck erleidet. Dies wiederum kann den Cloud-Hosting-Anbieter dazu veranlassen, die Instanz zu migrieren, wodurch der Inhalt des Protokolls der schmutzigen Seiten des Gastes für den Host sichtbar wird.

Diese Schwachstelle ist in allen Linux-Kerneln vorhanden, von 2.6.34 bis zum neuesten. Die einzige bekannte Abhilfe ist ein Upgrade auf den neuesten Kernel 5.3.

KernelCare verfolgt diesen Bericht und arbeitet an Entschärfungspatches für alle unterstützten Plattformen. Sie werden heute verfügbar sein.

Für die Produktion freigegebene Patches:

  • Debian 10
  • Debian 8
  • Debian 8-Backports
  • Debian 9
  • OEL 7
  • RHEL 7
  • CentOS 7
  • CentOS 7-Plus
  • PVE 5
  • Ubuntu Bionic
  • Ubuntu Bionic HVE
  • Ubuntu Trusty
  • Ubuntu Trusty LTS Xenial
  • Ubuntu Xenial
  • Ubuntu Xenial LTS Bionic

    Patches, die für das Test-Repository freigegeben wurden:

  • CentOS 6
  • CentOS 6-Plus
  • OEL 6
  • OpenVZ
  • RHEL 6
  • SL 6

 

Lesen Sie hier mehr über Live-Patching von kritischen CVEs ohne Neustart:


Über KernelCare

KernelCare ist ein Live-Patching-System, das Schwachstellen im Linux-Kernel automatisch und ohne Neustart behebt. Es wird auf über 300.000 Servern eingesetzt und wird seit über 6 Jahren zum Patchen von Servern verwendet. Es funktioniert mit allen wichtigen Linux-Distributionen, wie RHEL, CentOS, Amazon Linux und Ubuntu. Es arbeitet auch mit gängigen Schwachstellen-Scannern wie Nessus, Tenable, Rapid7 und Qualys zusammen. Wenn Sie mit einem Berater darüber sprechen möchten, wie KernelCare die spezifischen Anforderungen Ihres Unternehmens erfüllen kann, wenden Sie sich direkt an uns: [email protected].

 

Möchten Sie das Patchen von Sicherheitslücken ohne Kernel-Neustart, Systemausfallzeiten oder geplante Wartungsfenster automatisieren?

Erfahren Sie mehr über Live-Patching mit TuxCare

Werden Sie ein TuxCare-Gastautor

Los geht's

E-Mail

Beitreten

4,500

Linux & Open Source
Fachleute!

Abonnieren Sie
unseren Newsletter