The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]



"Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Разговоры, обсуждение новостей
Изначальное сообщение [ Отслеживать ]

"Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от opennews (ok) on 15-Авг-17, 21:37 
В гипервизоре Xen выявлено 5 уязвимостей (https://xenbits.xen.org/xsa/), из которых четыре (CVE-2017-12135 (https://xenbits.xen.org/xsa/advisory-226.html), CVE-2017-12137 (https://xenbits.xen.org/xsa/advisory-227.html), CVE-2017-12136 (https://xenbits.xen.org/xsa/advisory-218.html), CVE-2017-12134 (https://xenbits.xen.org/xsa/advisory-229.html)) потенциально позволяют выйти за пределы текущего гостевого окружения и повысить свои привилегии,  а одна уязвимость(CVE-2017-12855 (https://xenbits.xen.org/xsa/advisory-230.html)) может привести к  утечке содержимого памяти из адресного пространства других окружений или хост-системы.

Все уязвимости, за исключением CVE-2017-12134, вызваны ошибками в коде с реализацией интерфейса Grant Table (https://wiki.xen.org/wiki/Grant_Table), предназначенного для предоставления доступа к страницам памяти и передачи прав на манипуляцию с ними. Grant Table используется для организации совместного использования памяти между несколькими гостевыми системами и  применяется, например, в общих для всех гостевых систем драйверах  блочных устройств и ввода/вывода. Уязвимость CVE-2017-12134 присутствует в коде бэкенда паравиртуализированных блочных устройств Xen, входящего в состав ядра Linux, и позволяет из гостевой системы инициировать чтение или запись в некорректную область памяти.

Исправления пока доступны в виде патчей (https://xenbits.xen.org/xsa). Некоторые провайдеры публичных облачных систем были уведомлены о проблеме две недели назад и уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в список (https://www.xenproject.org/security-policy.html) упреждающей отправки уведомлений, рекомендуется срочно установить обновление. Для эксплуатации наиболее опасных уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра.

URL: https://www.qubes-os.org/news/2017/08/15/qsb-32/
Новость: http://www.opennet.ru/opennews/art.shtml?num=47030

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +1 +/
Сообщение от A.Stahl (ok) on 15-Авг-17, 21:37 
https://www.opennet.ru/openforum/vsluhforumID3/110863.html#1
ВСД отступает -- есть пути для отхода. Сердцебиение нормализуется, дрожь ослабевает, дыхание приходит в норму.
Так лучше.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от Аноним (??) on 15-Авг-17, 22:08 
Подорожник приложил?
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

38. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от Fantomas (??) on 17-Авг-17, 14:08 
Ксенофобы
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +5 +/
Сообщение от Вовк on 15-Авг-17, 22:29 
шо, опять?!
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

4. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  –2 +/
Сообщение от Аноним (??) on 15-Авг-17, 22:30 
А есть какие-то другие способы виртуализации? Может академические разработки?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

5. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от Аноним (??) on 15-Авг-17, 22:43 
kvm ваш к.о.
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от пох on 15-Авг-17, 23:32 
> А есть какие-то другие способы виртуализации?

_способов_ - нет. В смысле, в xen используются оба общепринятых - hv и pv.
то есть либо ядро и гостя и хоста в курсе друг о друге, и общаются через специальные интерфейсы, либо гостю подсовывают аппаратную виртуализацию с эмуляцией железа.

Реализация аппаратной виртуализации на свете, по сути, одна - qemu, разработка одного-единственного человека, которую скопипастили от вмвари до microsoft (и включая,разумеется,линуксы)
А реализаций второго - было. Но по большей части сплыло (кто еще помнит про uml?).

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от Аноним (??) on 15-Авг-17, 23:41 
>А реализаций второго

VirtIO

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

10. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  –2 +/
Сообщение от Вася Пупкин on 16-Авг-17, 00:39 
>>Реализация аппаратной виртуализации на свете, по сути, одна - qemu, разработка одного-единственного человека, которую скопипастили от вмвари до microsoft (и включая,разумеется,линуксы)

Это вы так думаете, или у вас есть какие нибудь пруф линки?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

32. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +1 +/
Сообщение от Аноним (??) on 16-Авг-17, 14:38 
Да.
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

22. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от Аноним (??) on 16-Авг-17, 10:04 
>скопипастили от вмвари до microsoft

Почему тогда молчит Software Freedom Conservancy?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

31. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  –1 +/
Сообщение от пох on 16-Авг-17, 13:43 
>>скопипастили от вмвари до microsoft
> Почему тогда молчит Software Freedom Conservancy?

так ключевая деталь архитектуры, без которой в то время ничего бы толком не работало, получился бы очередной uml (процессоры еще медленные и еще без всяких VT-чудес) не была изначально free, у нее, по-моему, и исходники-то не были паблик. (а когда автор наигрался и бросил, уже была и вмварь, и vpc, и кто там еще из ныне почивших в бозе, некоторые из них и не скрывали источников "вдохновения")
А ключевая деталь, без которой так себе работает сейчас (наоборот, виртуальные драйвера) - так она нынче у всех опен, та же вмварь просто счастлива, что ей больше не нужно под каждое новое ведро выпускать прослойку.

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

36. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от ИМяимя on 17-Авг-17, 07:44 
Потому что скопировали идею, а не код. Ваш КО
Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

17. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  –1 +/
Сообщение от Аноним (??) on 16-Авг-17, 08:41 
пользуйся XenOrcgestra - это веб-морда. вроде ниче так...
или сиди в консоли. это трушнее некуда
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

18. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +1 +/
Сообщение от Ананизм on 16-Авг-17, 09:01 
ксен оркестр -странная поделка.
знаем, проходили.
Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

14. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  –3 +/
Сообщение от Ананизм on 16-Авг-17, 07:09 
лично меня в ксене выбешивает то, что клиент только под винду. приходится на работе пользоваться этим.
почему бы ребятам из цитрикса не забубенить веб интерфейс на том же апаче?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

20. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от plamya (ok) on 16-Авг-17, 09:40 
Воспользуйтесь Oracle VM. Там всё управление через веб-морду. Последняя версия - 3.4.3. Тот же Xen, только с плюшками и for free
Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

25. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  –2 +/
Сообщение от Ананизм on 16-Авг-17, 11:24 
гражданин, Вы, прежде, чем выдавать советы, поинтересовались бы почему именно ксен.
да и лично Вы поможете перенести туеву хучу работающих виртуалок в оракл?)
Ответить | Правка | ^ к родителю #20 | Наверх | Cообщить модератору

28. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +1 +/
Сообщение от plamya (ok) on 16-Авг-17, 12:26 
Уважаемый, лично я помогал, помогаю и буду помогать мигрировать за денежку) Есть проект? - готов помочь :)

А теперь позвольте поинтересоваться, почему именно Xen, а не альтернатива на том же гипервизоре?

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

21. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от пох on 16-Авг-17, 09:51 
> почему бы ребятам из цитрикса не забубенить веб интерфейс на том же
> апаче?

потому что, во-первых, получится классная дыра (вчера rhn плюнула в меня очередной порцией срочно-апдейтов вашего замечательного апача) и придется для коммерческих клиентов поддерживать еще и _чужой_ кривой продукт. Как это делает vmware. И это помимо дыр by-design.

во-вторых, они явно не хотят видеть у себя тусовку хипстеров, программистов на reactjs.
В-третьих, и в главных, они предлагают - "почему бы ребятам, поющим алилуйю опенсорсу, не сделать в кои-то веки чего-то самим". А, не хотят и не умеют даже этого? (пара на редкость уродливых поделок не в счет) Ну так и нафиг для таких стараться? Ни один их коммерческий клиент по отсутствию native linux версии плакать не будет.

и да, cli для любителей консоли никто не отменял, в отличие от той же вмвари им можно пользоваться, не испытывая желания убить нахрен изобретателя. И для более-менее крупной системы это, собственно, единственный адекватный способ - дырку в мыши протрешь, кликая.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

24. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  –1 +/
Сообщение от Аноним (??) on 16-Авг-17, 11:10 
>[оверквотинг удален]
> reactjs.
> В-третьих, и в главных, они предлагают - "почему бы ребятам, поющим алилуйю
> опенсорсу, не сделать в кои-то веки чего-то самим". А, не хотят
> и не умеют даже этого? (пара на редкость уродливых поделок не
> в счет) Ну так и нафиг для таких стараться? Ни один
> их коммерческий клиент по отсутствию native linux версии плакать не будет.
> и да, cli для любителей консоли никто не отменял, в отличие от
> той же вмвари им можно пользоваться, не испытывая желания убить нахрен
> изобретателя. И для более-менее крупной системы это, собственно, единственный адекватный
> способ - дырку в мыши протрешь, кликая.

Первый адекватный и достаточно многогранный ответ попавшийся мне на глаза сегодня. Спс.
Если есть знания и скил в этом вопросе, эти "дырки" в XEN by design или криворукость?

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

29. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +1 +/
Сообщение от пох on 16-Авг-17, 13:04 
> Если есть знания и скил в этом вопросе

патчи, типа, открыты, никто ж не мешает посмотреть самому, что и как там исправляют.
by design. В смысле, не бывает таких пряморуких, которые напишут здоровенные куски хитросвязанного кода, потом еще сто раз перепишут ради новых веяний, и не ошибутся.

просто не считайте виртуализацию волшебным средством от всех болезней. xen отличная штука, если вам нужно, к примеру, сделать стопицот тестовых виртуалок, вынести нахрен неудобосетапливаемую программу с юзерских систем на виртуальный десктоп, изолировать очередное чудо-в-коробочке от конкретного сервера, чтоб когда он навернется, без проблем переехать на соседний и т д. (про бигклауды и *aaS помолчим, там все варианты очень так себе)

А хонипоты для кулхакеров, так чтоб они друг друга и тебя самого не увидели и не разломали в принципе, боюсь, на этой платформе надежно не сделаешь (да и  хз на какой - надежно. Наверное, на s390, ее никто толком не знает, непонятно, с какого конца хакать ;-)

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от Ананизм on 16-Авг-17, 11:35 
какая дыра из апача? Вы о чем?
если Вы выставляете свои ксены в МИР, а не разрешаете доступ по идентификации айпи хотя бы,то это Ваши "проблемы".

и, вообще, какой-то Вы злобный. опенсорсники ему не угодили, видите-ли...

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

27. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  –1 +/
Сообщение от Аноним (??) on 16-Авг-17, 11:48 

> и, вообще, какой-то Вы злобный. опенсорсники ему не угодили, видите-ли...

Злобности не почувствовал. Тем более в сторону опенсорсников.
А так да, что то не нравится (не подходит), сделай сам (или заплати за работу). Это же, не законодательно Вас "наградили", таким "добром" (добро же по указу не добро же ;)

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

35. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  –1 +/
Сообщение от Ананизм on 16-Авг-17, 18:51 
удивляют подобные, что и пишут с ошибками простые слова...
какой там код...
не один дебаггер не справится.
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

30. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  –1 +/
Сообщение от пох on 16-Авг-17, 13:28 
> какая дыра из апача? Вы о чем?

CVE-2017-9788 CVE-2017-3167 CVE-2017-3169 - выбирайте, свежак (еще одна для хостеров, вам не актуально).

> если Вы выставляете свои ксены в МИР, а не разрешаете доступ по
> идентификации айпи хотя бы,то это Ваши "проблемы".

ну да, ну да - если у тебя конторка из пяти человек, это, конечно, не проблемы.
Только зачем в такой конторке гуевая система управления платформой для виртуалок, там и виртуалок-то все пять штук установлены в 2013м году, новая добавится через год, а еще через год либо они банкроты, либо сервер пора менять.
А когда их пара сотен, причем само управление виртуалками уже тоже пришлось отдать в другие подразделения, чтобы освободить себе время от рутины "заведите стописятпятую - копией шаблона тридцатой, а какой - не помним" или "мы все сломали, перезагрузите ее... упс, восстановите" - то и "идентификация айпи" уже не кажется панацеей - работничков в такой лавке уже слишком много, не все из них пряморукие, и айпишников, кстати, тоже.

А vmware, наверное, дурачки, чего они свои вцентры все патчат и патчат, кто ж их "в мир выставляет-то"

> и, вообще, какой-то Вы злобный. опенсорсники ему не угодили, видите-ли...

не мне, вам же ж - не написали, представляете, нормального веб-междумордия. Хотя и спеки открыты, и попытки в общем-то были, и во всяких меганавороченных "orchestration" поделиях xen вроде как и поддерживается.

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

33. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от Ананизм on 16-Авг-17, 18:44 
Ваше мнение.
но как Вы могли подсчитать кол-во vm и sr, коих более пяти сотен...
это не Вы добитесь к нам в периметровый шлюз, не?
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

39. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от пох on 18-Авг-17, 00:59 
> но как Вы могли подсчитать кол-во vm и sr, коих более пяти сотен...

это ни о чем. Я и больше могу наклонировать совершенно ненужных vm, у меня железки потянут.
(главное, ничего в тех vm не делать)
А вот сотрудников в вашей хипста-лавке - кот наплакал (уборщицы не в счет). И да, для этого не надо ломать ваш дурацкий "шлюз" - это прекрасно видно по вашей писанине. Вот по всей этой бредятине "да чего там бояться каких-то дыр в апаче - мы вдвоем с васей точно его ломать не будем" и "идентификации по ip". (не говоря уже про успевание посмотреть, кто там ломится в ваш чудо-шлюз вместо сливания всех этих логов в devnull)

У меня вот идентификация по сертификатам, которые, между прочим, экспайрятся, а не наследуются вместе с ip и рабочим местом, и через пяток итераций принадлежат уже неведомо кому. Но никакой уверенности, что там ходят только хорошие люди, у меня лично нет, я большую часть никогда не видел и не увижу, и поводов расслабляться и забывать про обновления внутри периметра (да не одного) тоже нет.

Все эти полумеры просто слегка сужают атакуемую площадь и позволяют чуть выиграть время - пока ставится срочно-апдейт, в том числе.

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

37. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от xen (??) on 17-Авг-17, 12:51 
> почему бы ребятам из цитрикса не забубенить веб интерфейс на том же апаче?

А почему это должно заботить Citrix? Веб-интерфейсов хватает, если хорошо поискать.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

40. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от пох on 18-Авг-17, 01:00 
> А почему это должно заботить Citrix? Веб-интерфейсов хватает, если хорошо поискать.

назовите первые три приличных, если нашли?

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

19. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +/
Сообщение от Аноним (??) on 16-Авг-17, 09:25 
Обновлений для XenServer не будет, ждите XenServer 7.3.
Существует еще проблема, что обновиться на новую версию нельзя,
так как производители не успевают за Citrix или не хотят (Raid Adaptec 7805).
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

23. "Новые уязвимости в Xen, позволяющие выйти за пределы гостево..."  +1 +/
Сообщение от пох on 16-Авг-17, 10:04 
> Обновлений для XenServer не будет, ждите XenServer 7.3.

стесняюсь спросить - а денег им заплатить не пробовали? Или это вам саппорт такое ответил?

> Существует еще проблема, что обновиться на новую версию нельзя,
> так как производители не успевают за Citrix или не хотят (Raid Adaptec

ну а зачем вы его покупали? Или для вас сюрприз, что адаптек категорически не желает открывать свои драйвера, со времен 2000го года, и с ними всегда будут проблемы у тех, кто выкладывает исходники?

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру