ClickCease QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape Vulnérabilité - TuxCare

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Vulnérabilité de QEMU-KVM vhost/vhost_net Guest to Host Kernel Escape Vulnérable

17 septembre 2019 - L'équipe de relations publiques de TuxCare

QEMU

L'équipe KernelCare suit l'évolution d'une vulnérabilité récemment signalée concernant les invités QEMU-KVM exécutant des noyaux Linux.

La vulnérabilité a été signalée par l'équipe Blade de Tencent, et a reçu l'enregistrement CVE-2019-14835. Elle fonctionne comme suit.

Les instances virtuelles QEMU-KVM utilisant le back-end réseau vhost/vhost_net utilisent un tampon du noyau pour maintenir un journal des pages sales. Les limites de ce journal ne sont pas vérifiées par le noyau et peuvent déborder en forçant la machine virtuelle à migrer.

Cela peut se produire lorsque la VM est hébergée dans le nuage et qu'elle subit une surcharge temporaire de ressources ou une fuite de mémoire. Le fournisseur d'hébergement en nuage peut alors décider de migrer l'instance, révélant ainsi à l'hôte le contenu du journal des pages sales de l'invité.

Cette vulnérabilité est présente dans tous les noyaux Linux, de la version 2.6.34 à la plus récente. La seule solution connue est de passer au noyau 5.3 le plus récent.

KernelCare suit ce rapport et travaille sur des correctifs d'atténuation pour toutes les plateformes prises en charge. Ils seront disponibles aujourd'hui.

Correctifs mis en production :

  • Debian 10
  • Debian 8
  • Debian 8-Backports
  • Debian 9
  • OEL 7
  • RHEL 7
  • CentOS 7
  • CentOS 7-Plus
  • PVE 5
  • Ubuntu Bionic
  • Ubuntu Bionic HVE
  • Ubuntu Trusty
  • Ubuntu Trusty LTS Xenial
  • Ubuntu Xenial
  • Ubuntu Xenial LTS Bionic

    Correctifs publiés dans le référentiel de test :

  • CentOS 6
  • CentOS 6-Plus
  • OEL 6
  • OpenVZ
  • RHEL 6
  • SL 6

 

Pour en savoir plus sur les correctifs en direct des CVE critiques sans redémarrage, cliquez ici :

À propos de KernelCare

KernelCare est un système de correction en direct qui corrige les vulnérabilités du noyau Linux automatiquement, sans redémarrage. Il est utilisé sur plus de 300 000 serveurs et permet de corriger les serveurs en fonctionnement depuis plus de 6 ans. Il fonctionne avec toutes les principales distributions Linux, telles que RHEL, CentOS, Amazon Linux et Ubuntu. Il interagit également avec les scanners de vulnérabilité courants tels que Nessus, Tenable, Rapid7 et Qualys. Pour discuter avec un consultant de la manière dont KernelCare pourrait répondre aux besoins spécifiques de votre entreprise, contactez-nous directement à l'adresse [email protected].

 

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information