ClickCease QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape Vulnerability - TuxCare

Únase a nuestro popular boletín

Únase a más de 4.500 profesionales de Linux y el código abierto.

2 veces al mes. Sin spam.

QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape Vulnerability (Vulnerabilidad de fuga de kernel de huésped a host en QEMU-KVM)

17 de septiembre de 2019 - Equipo de expertos de TuxCare

QEMU

El equipo de KernelCare está siguiendo la evolución de una vulnerabilidad de la que se ha informado recientemente y que afecta a huéspedes QEMU-KVM que ejecutan kernels Linux.

La vulnerabilidad fue reportada por el equipo Blade de Tencent, y ha recibido el registro CVE-2019-14835. Funciona de la siguiente manera.

Las instancias virtuales QEMU-KVM que utilizan el backend de red vhost/vhost_net utilizan un buffer del kernel para mantener un registro de páginas sucias. Los límites de este registro no son comprobados por el núcleo y pueden desbordarse forzando a la máquina virtual a migrar.

Esto puede ocurrir cuando la máquina virtual está alojada en la nube y sufre un aumento temporal de recursos o una fuga de memoria. Esto, a su vez, puede provocar que el proveedor de alojamiento en la nube migre la instancia, revelando el contenido del registro de páginas sucias del invitado al host.

Esta vulnerabilidad se encuentra en todos los kernels de Linux, desde el 2.6.34 hasta el más reciente. La única mitigación conocida es actualizar al último kernel 5.3.

KernelCare está rastreando este informe y está trabajando en parches de mitigación para todas las plataformas soportadas. Estarán disponibles hoy mismo.

Parches lanzados a producción:

  • Debian 10
  • Debian 8
  • Debian 8-Backports
  • Debian 9
  • OEL 7
  • RHEL 7
  • CentOS 7
  • CentOS 7-Plus
  • PVE 5
  • Ubuntu Bionic
  • Ubuntu Bionic HVE
  • Ubuntu Trusty
  • Ubuntu Trusty LTS Xenial
  • Ubuntu Xenial
  • Ubuntu Xenial LTS Bionic

    Parches liberados en el repositorio de pruebas:

  • CentOS 6
  • CentOS 6-Plus
  • OEL 6
  • OpenVZ
  • RHEL 6
  • SL 6

 

Más información sobre la aplicación de parches en directo a CVE críticos sin reinicio aquí:

Acerca de KernelCare

KernelCare es un sistema de parcheo en vivo que parchea vulnerabilidades del kernel de Linux automáticamente, sin reinicios. Se utiliza en más de 300.000 servidores, y se ha utilizado para parchear servidores en funcionamiento durante más de 6 años. Funciona con las principales distribuciones de Linux, como RHEL, CentOS, Amazon Linux y Ubuntu. También interopera con escáneres de vulnerabilidades comunes como Nessus, Tenable, Rapid7 y Qualys. Para hablar con un consultor sobre cómo KernelCare podría satisfacer las necesidades específicas de su empresa, póngase en contacto con nosotros directamente en [email protected].

 

¿Desea automatizar la aplicación de parches de vulnerabilidad sin reiniciar el núcleo, dejar el sistema fuera de servicio o programar ventanas de mantenimiento?

Más información sobre Live Patching con TuxCare

Conviértete en escritor invitado de TuxCare

Empezar

Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín
Correo

Únete a

4,500

Profesionales de Linux y código abierto

Suscríbase a
nuestro boletín
Cerrar enlace