The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Критическая уязвимость в гипервизоре Xen

01.10.2014 20:09

В гипервизоре Xen обнаружена опасная уязвимость (CVE-2014-7188), позволяющая инициировать крах хост-окружения или прочитать данные на уровне гипервизора или других гостевых систем. Эксплуатация возможна при выполнении специально оформленных гостевых систем, работающих в режиме полной виртуализации (HVM). Например, данный режим поддерживается во многих облачных службах, включая Amazon Elastic Compute Cloud, RackSpace и многих других решениях виртуализации на базе Xen. Уязвимость может быть использована для компрометации серверной инфраструктуры данных служб.

Проблеме не подвержены конфигурации, в которых гостевые системы выполняются только в режиме паравиртулизации (PV). Исправление пока доступно в виде патча. Проблема проявляется в Xen 4.1 и более новых выпусках на системах с процессорами x86. Уязвимость выявлена сотрудником компании SUSE.

Уязвимость вызвана ошибкой в коде эмуляции контроллера прерываний x2APIC, которая позволяла обратиться к MSR за пределами дозволенного диапазона. Если операции записи вне лимита блокировались, то чтение могло привести к обращению к страницам памяти за пределами эмулятора. Последовательно перебирая таким способом память, атакующий может добраться до памяти других виртуальных окружений или основной системы.

Дополнение 1: Amazon и RackSpace устранили уязвимость в своих инфраструктурах ещё до публичного обнародования сведений об уязвимости, они были заранее уведомлены разработчиками Xen. Устранение проблемы потребовало перезагрузки некоторых серверов. Сообщество Xen раскрыло данные об уязвимости в два этапа: вначале были отправлены уведомления избранным организациям, входящим в список закрытой рассылки Xen Security Team, а через несколько дней информация была раскрыта публично.

Дополнение 2: Утверждается, что уязвимость позволяет прочитать не более чем 3 КБ из случайной области памяти.

  1. Главная ссылка к новости (http://lists.xenproject.org/ar...)
  2. OpenNews: Представлен XenGT, механизм виртуализации GPU от компании Intel
  3. OpenNews: Релиз системы виртуализации Xen 4.4.0
  4. OpenNews: В рамках проекта RT-Xen развиваются средства для Real-Time виртуализации на базе Xen
  5. OpenNews: Уязвимость в SCSI-коде QEMU, позволяющая выйти за пределы гостевого окружения Xen
  6. OpenNews: Уязвимости в Xen, позволяющие из гостевого окружения получить доступ к хост-системе
Лицензия: CC-BY
Тип: Проблемы безопасности
Короткая ссылка: https://opennet.ru/40724-xen
Ключевые слова: xen
Поддержать дальнейшую публикацию новостей на OpenNET.


Обсуждение (36) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, продавец_кирпичей (?), 20:19, 01/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +5 +/
    Я, как продавец_кирпичей, заявляю - кирпичей будет много
     
     
  • 2.2, MPEG LA (ok), 20:20, 01/10/2014 [^] [^^] [^^^] [ответить]  
  • +2 +/
    кирпичей не знаю, но перезагрузок серверов - да.
     
     
  • 3.22, pavlinux (ok), 16:02, 02/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Янка Руткитовская фпечали, опять Qubes дырявый :)
     
     
  • 4.28, Аноним (-), 19:41, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Янка Руткитовская фпечали, опять Qubes дырявый :)

    Анка Пулеметчица, версия 2.0 :)

     

  • 1.3, Аноним (-), 20:45, 01/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    В прошлый раз дебиановцы своим секьюрити-апдейтом сломали проброс видюх в гостевую систему и, вроде бы, до сих пор не исправили. Интересно, что у них отвалится на этот раз?

     
  • 1.4, Аноним (-), 20:54, 01/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Кстати, у рутковской тоже дырка! Могла бы часть доменов сделать pv, а по необходимости использовать hvm.
     
     
  • 2.5, Аноним (-), 21:01, 01/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    В Qubes под HVM только Windows-окружения запускаются.
     
     
  • 3.6, Аноним (-), 21:06, 01/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Кажется, мы оба неправы. Судя по прошлой новости, тамошнее appvm предназначено для любых не-pv ос.
     
     
  • 4.10, Аноним (-), 22:01, 01/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Нет, для Linux там PV. HVM появился только в Qubes 2 и применяется специально для Windows или для запуска нестандартных систем.
     
     
  • 5.17, Аноним (-), 08:53, 02/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    тогда текст прошлой новости надо поправить
     
     
  • 6.18, Аноним (-), 10:05, 02/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Там про это в списке новшеств написано, что в новой версии появилась возможность использования HVM. Про то, что HVM используется по умолчанию ничего нет.
     
  • 5.23, yet another anonymous (?), 20:01, 02/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Нет, для Linux там PV. HVM появился только в Qubes 2 и применяется специально для Windows или для запуска нестандартных систем.

    Дык, PV быстрее и менее накладно. Только для закрытого крапа PV делать геморно, вот и приходиться отползать на HVM.

     
  • 3.8, Аноним (-), 21:11, 01/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > В Qubes под HVM только Windows-окружения запускаются.

    А какая разница - из виндовой программы тебя поимеют или из линуксной?

     
  • 2.13, Аноним (-), 23:59, 01/10/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    >Кстати, у рутковской тоже дырка!

    Да вы шо?!

     
     
  • 3.16, user (??), 08:19, 02/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Если вдоль, то не интересно
     

  • 1.7, Аноним (-), 21:11, 01/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    > включая Amazon Elastic Compute Cloud,

    Теперь эластичность им пригодится - их натянут :).

    > RackSpace

    А эти могут переименоваться в HackSpace.

     
  • 1.9, Нимо Ан (?), 21:57, 01/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Только я задумал попробовать детище Рутковской...
     
     
  • 2.11, Аноним (-), 22:13, 01/10/2014 [^] [^^] [^^^] [ответить]  
  • +5 +/
    Даа, с этой уязвимостью твой локалхост точно сломают
     
  • 2.12, Рутковска (?), 23:40, 01/10/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    Ща рожу
     
  • 2.21, Аноним (-), 12:38, 02/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    Билана?
     

  • 1.14, АнонимусРекс (?), 05:17, 02/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    и это в который уже раз. при этом, ксенолюбители все еще кричат о том что у них система безопаснее чем kvm
     
  • 1.19, Аноним (-), 10:18, 02/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Амазон ребутал сотни виртуалок, все перегрузились шустро. А вот парочка виртуальных машин, у которых номер 13 был в хостнейме - полчаса висели в непонятном состоянии. Задумаешься...
     
  • 1.25, Аноним (-), 12:52, 04/10/2014 [ответить] [﹢﹢﹢] [ · · · ]  
  • –1 +/
    Надо слушать людей которые хоть что-то понимают в компьютерной безопасности: kerneltrap.org/OpenBSD/Virtualization_Security

    Поскольку эту ссылку зделали недоступной и 99% российских админов убеждённо и упрямо считают виртуализацию как средство безопасности приведу здесь мнение Тео:

    "В списке рассылки OpenBSD началось обсуждение по поводу возможности включения технологии виртуализации Xen в эту операционную систему. Было высказано предположение, что виртуализация должна стать приоритетом в связи с вопросами безопасности. Цитата: "Виртуализация, как нам кажется, имеет большое количество преимуществ в плане безопасности".

    Создатель OpenBSD Theo de Raadt категорически не согласился с этим предположением: "Вы обкурились чем-то совершенно невозможным и вы должны срочно с нами этим [травой] поделиться". Далее он высказался так: "[Виртуализация] это как нечто красивое и разноцветное, лежащее на полке [магазина], и что вы, наконец, купили".

    Он пояснил это изречение следующими словами: "Виртуализация на платформе x86 в самом простом случае обычно выражается в виде запуска дополнительной, практически полновесной версии ядра, содержащей большое количеством ошибок, на основе отвратительной архитектуры x86, которая едва ли имеет правильную защиту страниц [памяти]. Затем вы запускаете другую ОС в другой части этой кучи экскрементов [shit]. Вы находитесь в абсолютном заблуждении, если не сказать, что вы глупы, если думаете, что мировое сообщество софтверных инженеров, которые не могут написать ни ОС, ни приложения без ошибок в безопасности, вдруг написали слой виртуализации их не содержащий".

     
     
  • 2.26, АнонимусРекс (?), 18:07, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    дыры будут всегда, но именно поэтому надо выбирать архитектуру в которой может оказаться меньше дыр by design и это - kvm
     
     
  • 3.30, Аноним (-), 15:32, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • –2 +/
    > дыры будут всегда, но именно поэтому надо выбирать архитектуру в которой может
    > оказаться меньше дыр by design и это - kvm

    Ну сомнения терзают, kvm проще за щёт использования спец инструкций процов. Но всё равно в Линукс и ФриБСД с дизайном виртуализации большие проблемы, как раз by design этих ОС.

    В OpenBSD тоже дизайн для виртуализации не подходит. Тэо это понимает и от виртуализации отказался.

    На сегодня пока единственная в мире ОС где с виртуализацией "by design" проблем быть не должно - DragonFlyBSD. Она именно с целью реализации простой и правильной виртуализации пишется... Хотя сие их утверждение требует отдельной проверки со стороны.

     
     
  • 4.32, АнонимусРекс (?), 17:40, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >> дыры будут всегда, но именно поэтому надо выбирать архитектуру в которой может
    >> оказаться меньше дыр by design и это - kvm
    > Ну сомнения терзают, kvm проще за щёт использования спец инструкций процов. Но
    > всё равно в Линукс и ФриБСД с дизайном виртуализации большие проблемы,
    > как раз by design этих ОС.

    ну так в линуксе есть куча средств для улучшения безопасности. для виртуализации есть специальный selinux - svirt. вообще, таких новостей как эта, о KVM пока не было, и на это есть хорошие причины.

     
  • 4.33, Аноним (-), 18:24, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > Ну сомнения терзают, kvm проще за щёт использования спец инструкций процов. Но
    > всё равно в Линукс и ФриБСД с дизайном виртуализации большие проблемы,

    Да понятно что на проволоку и скотч привинтили, но от ОС надо чтобы это работало, а не чтобы это был отполированный музейный экспонат.

    > как раз by design этих ОС.

    Сам по себе design ОСей достаточно нейтрален к виртуализации. Единственная проблема - гипервизор это часть ядра. Достаточно большого. Там потенциально могут быть баги. Поэтому рутковска и взяла Xen. Там гипервизор сам по себе и мелкий. Что иронично, в xen с тех пор было здорово больше багов чем в KVM. Чем-то таким теория и отличается от практики. А, ну у фрибзд еще 1 проблема - у них виртуализации можно считать что нет. Потому что всякое недопиленное/экспериментальное недоразумение при наличии полудюжины решений в виде пригодном для продакшна - ну вы поняли. Рынок уже поделили и там фрибзды уже не ждут. А так все хорошо.

    > В OpenBSD тоже дизайн для виртуализации не подходит. Тэо это понимает и
    > от виртуализации отказался.

    А Тео вообще сидит в своем сельском скворечнике. И удобства во дворе. Зато рассуждает что этот ваш унитаз в теплом доме - штука ненадежная. В водопроводе может пропасть вода, насос может сломаться, особо толстый зад унитаз не выдержит. А в его седалище он дескать каждый гвоздик знает. И оно сколочено с таким запасом что выдержит даже небольшого слона. Может и выдержит. Но большинству людей будет обломно тащить свой окорок на мороз. А у тео нет никаких предложений как это улучшить. Его ответ - "морозьте задницы".

    > проблем быть не должно - DragonFlyBSD.

    Когда и если ей кто-то будет пользоваться столько же сколько Xen и KVM - мы и посмотрим насколько это правда. Про Xen тоже так говорили, при том эксперт в области, собственно, Рутковска. А на практике - эвона оно как :).

     
     
  • 5.35, АнонимусРекс (?), 19:08, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > Да понятно что на проволоку и скотч привинтили, но от ОС надо
    > чтобы это работало, а не чтобы это был отполированный музейный экспонат.

    так весь линукс это проволока и скотч, и что самое приятное - работает ведь.  


    > Сам по себе design ОСей достаточно нейтрален к виртуализации. Единственная проблема -
    > гипервизор это часть ядра. Достаточно большого. Там потенциально могут быть баги.

    не сомненно, только они в любом случае будут иметь место, не в микроядре Xen так в Dom0.

    > Поэтому рутковска и взяла Xen. Там гипервизор сам по себе и
    > мелкий. Что иронично, в xen с тех пор было здорово больше
    > багов чем в KVM. Чем-то таким теория и отличается от практики.

    KVM гораздо более минималистичен чем Xen, там кода не больше чем в любом другом модуле ядра (изначальную версию Ави написал за 6 недель емнип), это в принципе драйвер для VT и SVM, и все. Нет дополнительных шедулеров, и прочих костылей, все остальное уже и так умеет само ядро, которое по определению проходит больше проверок на безопасность и стабильность чем Xen. Без дополнительных костылей, стандартные линуксовые системы работают без костылей. так что cgroups, selinux, apparmor и т.д. нативно дополняют процессы KVM, а Xen просто никак к ним не относится, и торчит голой задницей в сеть.

     
  • 4.37, продавец_кирпичей (?), 15:46, 07/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    >> оказаться меньше дыр by design и это - kvm
    > Ну сомнения терзают, kvm проще за щёт использования спец инструкций процов. Но
    > всё равно в Линукс и ФриБСД с дизайном виртуализации большие проблемы,
    > как раз by design этих ОС.
    > В OpenBSD тоже дизайн для виртуализации не подходит. Тэо это понимает и
    > от виртуализации отказался.
    > На сегодня пока единственная в мире ОС где с виртуализацией "by design"
    > проблем быть не должно - DragonFlyBSD. Она именно с целью реализации
    > простой и правильной виртуализации пишется... Хотя сие их утверждение требует отдельной
    > проверки со стороны.

    Спецы нахрен такие спецыалные спецы-Ыксперты аналитики опеннета - трындим и трындим.
    По делу едиственная рабочая ( БСЭМ-6 померла, к сожаления)
    безопасная виртуализация - IBM System z9 (  и где то в какой то мере AS400).
    То, что аналЫтеГЫ опеннета про них не видели - вполне закономерно :-(

     
  • 2.27, Аноним (-), 19:14, 04/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > ОС, ни приложения без ошибок в безопасности, вдруг написали слой виртуализации
    > их не содержащий".

    Тео упускает из вида соотношение затрат усилий к результату. Виртуалки позволяют получить изоляцию близкую к железной при минимальных затратах сил на администрирование и минимальном изменении практик администрирования. Это админится как просто отдельная система.

    Да, это не идеально. Но зато это легко настраивается и улучшает защищенность, попутно позволяя полнее использовать железо. А у Тео из решений вообще есть только громкие бла-бла и фига в кармане.

     
     
  • 3.29, Аноним (-), 15:25, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    > и улучшает защищенность,

    Да виртуалки сильно помогают и упрощают админам жизнь. Но они были сделаны и есть средством виртуализации, а не безопасной изоляции.

    Использовать виртуалки можно НО НЕ КАК СРЕДСТВО БЕЗОПАСНОСТИ.

    > А у Тео из решений вообще есть только громкие бла-бла и фига в кармане.

    Пока у него есть единственная в мире безопасная ОС.


     
     
  • 4.34, Аноним (-), 18:36, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > Да виртуалки сильно помогают и упрощают админам жизнь. Но они были сделаны
    > и есть средством виртуализации, а не безопасной изоляции.

    По изначальной задумке - это именно средство безопасной изоляции, то-есть, подразумевается развязка от хоста и невозможность ему нагадить. То что иногда возможны баги позволяющие это обойти - ок, но они возможны и в иных реализациях решений по изоляции (про это концептуалы почему-то тактично молчат в тряпочку, делая вид что они святоши и их баги не касаются, что попахивает лицемерием).

    И если сравнивать например безопасность машины где форум, почтарь, DNS и все остальное висело на 1 машине, сломали форум - унесли всю почту - покорежили DNS и прочее vs когда оно на все той же машине по отдельным VM и хаксор застрял на машине с форумом и попортил только форум - вот извините, безопасность определенно улучшилась. То что в сильно некоторых случаях хакер может попробовать вылезти за пределы VM - ок, но Xen и KVM нынче используются на коммерческой основе для хостинга и массовых взломов через VM что-то не видно. Обычно если у хостеров что-то и ломают - так это дырявую и открытую всем ветрам панель управления, которая позволяет что угодно в административных целях, а там уже все-равно какие операционки были.

    > Использовать виртуалки можно НО НЕ КАК СРЕДСТВО БЕЗОПАСНОСТИ.

    В том числе и как средство безопасности.

    > Пока у него есть единственная в мире безопасная ОС.

    Которая безопасна по примерно тем же причинам по которым неуловим неуловимый Джо. Всякие колибри и менуэты тоже безопасные. По примерно тем же причинам. И у Тео вообще нет никаких решений. Он просто сидит в своем деревянном сортире и рассказывает нам про то что наш унитаз неправильный.

     
     
  • 5.36, Аноним (-), 09:07, 07/10/2014 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Баги делают все люди, это наша сущность, кто меньше кто больше Но хотел сдела... большой текст свёрнут, показать
     
     
  • 6.38, продавец_кирпичей (?), 15:50, 07/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    >[оверквотинг удален]
    > проверки длины -> переполнение буфера -> взлом... пример: https://www.linux.org.ru/news/security/9162177?cid=9170049
    > Так вот в Линукс ядре возможности:
    > CONFIG_PAX_KERNEXEC=y
    > PAX_MEMORY_UDEREF=y
    > PAX_USERCOPY=y
    > CONFIG_GRKERNSEC_KERN_LOCKOUT=y
    > были реализованы в значительной мере благодаря Тео.
    > Также все ssl, ssh и почти все правильные вещи по безопасности в
    > Линукс тоже работа Тео!
    > Вот так вот, не лицемерь больше ;)

    Только применим твой хваленый грсек только на рутерах ( для кернелспейс машин), т.е примерно как бсд

     
     
  • 7.39, Censored (?), 19:32, 07/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    ...
    > Только применим твой хваленый грсек только на рутерах ( для кернелспейс машин),
    > т.е примерно как бсд

    Ну да?!
    А мы-то и не знали!.. почему-то у нас self-compiled ядра c GRsecurity на всех (1000+) production серверах по всем континентам стоят... :)

     
  • 3.31, Аноним (-), 15:40, 06/10/2014 [^] [^^] [^^^] [ответить]  
  • +/
    > получить изоляцию близкую к железной

    Для безопасной изоляции в Линукс пока разработано это: https://en.wikibooks.org/wiki/Grsecurity/Appendix/Grsecurity_and_PaX_Configura

     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:
    При перепечатке указание ссылки на opennet.ru обязательно



    Спонсоры:
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2021 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру