ClickCease QEMU-KVM vhost/vhost_net 게스트 대 호스트 Kernel 탈출 취약점 - TuxCare

인기 뉴스레터 구독하기

4,500명 이상의 Linux 및 오픈소스 전문가와 함께하세요!

한 달에 두 번. 스팸이 없습니다.

QEMU-KVM vhost/vhost_net 게스트 대 호스트 Kernel 탈출 취약점

2019년 9월 17일 TuxCare 홍보팀

QEMU

KernelCare 팀은 최근 보고된 Linux Kernel을 실행하는 QEMU-KVM 게스트와 관련된 취약점에 대한 개발 상황을 추적하고 있습니다.

이 취약점은 텐센트의 Blade 팀에 의해 보고되었으며, CVE-2019-14835로 등록되었습니다. 취약점은 다음과 같이 작동합니다.

vhost/vhost_net 네트워크 백엔드를 사용하는 QEMU-KVM 가상 인스턴스는 Kernel 버퍼를 사용하여 더티 페이지의 로그를 유지합니다. 이 로그의 범위는 Kernel에서 확인되지 않으며 가상 머신을 강제로 마이그레이션하여 오버플로할 수 있습니다.

이는 VM이 클라우드에 호스팅되어 일시적인 리소스 급증 또는 메모리 누수가 발생할 때 발생할 수 있습니다. 그러면 클라우드 호스팅 공급업체가 인스턴스를 마이그레이션하여 게스트의 더티 페이지 로그의 내용을 호스트에 공개할 수 있습니다.

이 취약점은 2.6.34부터 최신 버전까지 모든 Linux Kernel에 존재합니다. 알려진 유일한 완화 방법은 최신 5.3 Kernel로 업그레이드하는 것입니다.

KernelCare는 이 보고서를 추적하고 있으며 지원되는 모든 플랫폼에 대한 패치를 완화하기 위해 노력하고 있습니다. 오늘 적용될 예정입니다.

프로덕션에 패치가 릴리스되었습니다:

  • Debian 10
  • Debian 8
  • 데비안 8-백포트
  • Debian 9
  • OEL 7
  • RHEL 7
  • CentOS 7
  • CentOS 7-Plus
  • PVE 5
  • Ubuntu Bionic
  • Ubuntu Bionic HVE
  • Ubuntu 트러스티
  • Ubuntu 트러스티 LTS 제니얼
  • Ubuntu 제니얼
  • Ubuntu Xenial LTS Bionic

    테스트 저장소에 패치가 릴리스되었습니다:

  • CentOS 6
  • CentOS 6-Plus
  • OEL 6
  • OpenVZ
  • RHEL 6
  • SL 6

 

재부팅 없이 중요한 CVE를 실시간으로 패치하는 방법에 대한 자세한 내용은 여기를 참조하세요:


KernelCare 정보

KernelCare는 재부팅 없이 Linux Kernel 취약점을 자동으로 패치하는 라이브 패치 시스템입니다. 30만 대 이상의 서버에서 사용되고 있으며 6년 이상 운영 중인 서버를 패치하는 데 사용되어 왔습니다. RHEL, CentOS, Amazon Linux 및 Ubuntu와 같은 모든 주요 Linux 배포판에서 작동합니다. 또한 Nessus, Tenable, Rapid7, Qualys와 같은 일반적인 취약성 스캐너와도 상호 운용됩니다. 컨설턴트와 상담하려면 [email protected] 으로 직접 문의하세요.

 

Kernel 재부팅, 시스템 다운타임 또는 예정된 유지 보수 기간 없이 취약성 패치를 자동화하고 싶으신가요?

TuxCare로 라이브 패치에 대해 알아보기

TuxCare 게스트 작가 되기

시작하기

메일

가입

4,500

Linux & 오픈 소스
전문가!


뉴스레터 구독하기