Egy új Xen sebezhetőség VM-ből való kitörést tesz lehetővé, a Qubes OS is érintett

 ( trey | 2016. július 31., vasárnap - 10:25 )

A Xen Security Team egy kritikus sebezhetőséget jelentett be a minap. Az XSA 182-ben leírt sebezhetőség a hypervisor memória virtualizációt kezelő kódjában található. A sebezhetőség kihatással van a Qubes OS felhasználókra is:

An attacker who exploits this bug can break Qubes-provided isolation. This means that if an attacker has already exploited another vulnerability, e.g. in a Web Browser or Networking or USB stack, then the attacker would be able to compromise the whole Qubes system.

Részletek itt.

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

CVE-2016-6258
jessie xen 4.4.1-9+deb8u5 - vulnerable
jessie xen 4.4.1-9+deb8u6 - fixed

Fedorában is javították:

http://koji.fedoraproject.org/koji/buildinfo?buildID=786023

- x86: Privilege escalation in PV guests [XSA-182, CVE-2016-6258] (#1360358)
- x86: Missing SMAP whitelisting in 32-bit exception / event delivery [XSA-183, CVE-2016-6259] (#1360359)
- virtio: unbounded memory allocation issue [XSA-184, CVE-2016-5403] (#1360831)
- Qemu: scsi: esp: OOB write access in esp_do_dma [CVE-2016-6351] (#1360599)


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Sose láttam Xen-t, ezért kérdezem: ilyenkor az összes guest-et le kell állítani, vagy felmegy csendben a javítás?

Úgy gondolom, a javítás ugyan csendben felmegy, de attól az még nem kerül a memóriába, azaz még a régi, hibás kód fut tovább. Szóval szerintem az összes guest leállítása lesz a megfejtés. Amit írtam, szigorúan spekuláció, nem tapasztalat.


tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

Teljes host reboot is kell hozzá.

--
zrubi.hu

Thx.

A host reboot, az OK a de a VM az miért is ?

Teszem azt van egy egy xenserver pool om, egyik host sebezhető a másik nem.
A nem sebezhetőn elindítom a VM-et minden ok, majd live migrációval átteszem a sebezhetőre, akkor már sebezhető a host ? Valamint ha innen visszateszem a nem sebezhetőre akkor mi a szitu ?

Fedora 23, Thinkpad x220

Ilyen esetben attól függ, hogy a guest kernelét / xen libeket is érintette-e (szokta) a frisítés.

Ha nem, akkor a fenti eljárással nem kell zargatnod a guesteket, csak alattuk a host-ot.

Én csak "egyhosztos" környezetben (Qubes) használok Xen-t, így a "host reboot" = "all guest reboot".

--
zrubi.hu

Mondjuk az megint feletébb érdekes, hogyha a hoston javítva van a sebezhetőség, viszont olyan guest kerül rá ami sebezhető, akkor mégiscsak sebezhető marad, az elvileg már javított host.

Nekem az a logikus, hogy az ilyen guestből kitörünk a host-ba csakis a host cuccaitól kéne függenie. De lehet csak hiú ábrándokat kergetek :D

Fedora 23, Thinkpad x220

Ez a konkrét hiba a host memória kezelésével kapcsolatos, tehát feltételezem, hogy a javított hoston már mindegy milyen guest fut. Azért csak feltételezem, mert kizárólag PV guest-ből lehet kitörni, HVM-ből nem. De ezt azzal magyarázták, hogy máshogy kezelik a HVM-ek memóriáját, mint a PV guest-ekét, mert utóbbin pl van dinamikus memóriakezelés is. Emiatt várhatóan a host a lényeges, a guest frissítés max a kompatibilitás miatt lehet érdekes...

VMware esetében is technikailag működik az új esx-eken régi tools-szal futó guest is. De ha baj van vele a support eslő javaslata, hogy frissítsd a guest oldalt is.

Szerintem.

--
zrubi.hu