The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

03.05.2017 12:12  Уязвимости в гипервизоре Xen, позволяющие выйти за пределы гостевого окружения

В гипервизоре Xen выявлены три уязвимости (XSA-213, XSA-214 и XSA-215), каждая из которых позволяет выйти за пределы текущего гостевого окружения. Уязвимости также могут использоваться для обхода механизмов изоляции в ОС Qubes. Проблемы выявлены исследователями безопасности из группы Zero, созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей.

Исправления пока доступны в виде патчей. CVE-идентификатор пока не присвоен. Некоторые провайдеры публичных облачных систем были уведомлены о проблеме две недели назад и уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в список упреждающей отправки уведомлений, рекомендуется срочно установить обновление. Для эксплуатации всех уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра. В качестве обходного пути можно блокировать поддержку загрузки модулей ядра и других механизмов, позволяющих выполнить код на уровне ядра гостевой ОС.

Наиболее опасной из трёх уязвимостей является XSA-213, которая позволяет совершить атаку на хост-систему из любого 64-разрядного гостевого окружения, работающего в режиме паравиртуализации (PV). В результате атаки через манипуляцию с гипервызовом (hypercall) IRET злоумышленник может добиться изменения таблиц страниц памяти и получить доступ ко всей памяти хост-системы. Уязвимость проявляется только на системах x86_64. Платформа ARM, а также 32-разрядные гостевые системы и окружения режиме HVM данной проблеме не подвержены.

Уязвимость XSA-213 отмечается как одна из самых серьёзных ошибок в Xen за последние 8 лет (до этого было выявлено всего 3 ошибки подобного уровня - XSA-148, XSA-182 и XSA-212). Важность проблемы также усугубляет возможность применения стабильно работающего эксплоита, не требующего каких-то особых условий для атаки. Прототип эксплоита уже подготовлен, но не опубликован в открытом доступе. PV-окружения теперь рассматриваются проектом Qubes как ненадёжные и в следующем выпуске Qubes 4.x планируется полностью перейти на окружения в режиме полной изоляции (HVM).

Что касается остальных проблем, то эксплуатация уязвимости XSA-214 требует наличия контроля за двумя разными гостевыми системами, например, одним в режиме PV и одним в режима HVM, или одним 32-разрядным PV и одним 64-разрядным PV. Проблема XSA-215 затрагивает только хост-системы с очень большим объёмом памяти, от 3.5 Тб или 5 Тб ОЗУ, в зависимости от настроек.

  1. Главная ссылка к новости (https://www.qubes-os.org/news/...)
  2. OpenNews: Уязвимость в Xen, позволяющая выйти за пределы гостевой системы
  3. OpenNews: Релиз гипервизора Xen 4.8
  4. OpenNews: Уязвимость в Xen, позволяющая получить доступ к хост-системе
  5. OpenNews: QEMU/KVM и Xen подвержены уязвимости в коде эмуляции VGA
  6. OpenNews: Критическая уязвимость в Xen, позволяющая получить контроль над хост-системой
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: xen
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.3, Аноним (-), 13:55, 03/05/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –5 +/
    Именно и только поэтому мы выбираем kvm, а не xen.
     
     
  • 2.5, iCat (ok), 13:59, 03/05/2017 [^] [ответить]    [к модератору]
  • +4 +/
    KVM неуязвим!
    Пруфы:
    https://goo.gl/TDQPtw
     
     
  • 3.10, Аноним (-), 16:52, 03/05/2017 [^] [ответить]    [к модератору]
  • –2 +/
    Уязвимость в xen страшнее чем в kvm.
     
     
  • 4.14, нах (?), 17:52, 03/05/2017 [^] [ответить]    [к модератору]
  • +/
    да он вообще страшнее!

     
  • 1.13, Аноним (-), 17:07, 03/05/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –1 +/
    Странно, что в Debian jessie ещё прошлую до сих пор не пофиксили.
    https://www.opennet.ru/opennews/art.shtml?num=46322
     
  • 1.15, Нанобот (ok), 18:49, 03/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +3 +/
    >PV-окружения теперь рассматриваются проектом Qubes как ненадёжные и в следующем выпуске Qubes 4.x планируется полностью перейти на окружения в режиме полной изоляции (HVM).

    В xen PV безопасность обеспечивается открытым кодом, в HVM - проприетарным микрокодом процессора. В упор не догоню, почему первое считают небезопасным, а второе - безопасным. По-моему вероятность допустить ошибку приблизительно одинакова. Или считают, что закрытый код более безопасный?

     
     
  • 2.17, Stax (ok), 20:30, 03/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    Этого микрокода относительно мало (относительно объема кода для PV), поэтому и доверия ему больше. А баги там, конечно, были, но в целом их выловили за годы существования технологии.
     
     
  • 3.23, Ingwarr (?), 16:04, 04/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Вы явный оптимист:) Были, есть и будут!!! Мало того если мы их вычислим при взаимодействии с какой либо крупной конторой, скажем при адаптации их оборудования под устанавливаемую нами инфраструктуру мы тут-же попадаем под неразглашение, и таких случаев немало. У них тоже сроки, костыли, и попытки за счет прошивки покрыть глюки в железе, чтобы производственную линию не переделывать(Читаем Брукса, ничего, ничего не изменилось за почти пол-века), а как патчатся сами прошивки, если за уязвимость не могут подать в суд, тоже отдельная история с мифологией. Я думаю многие мои коллеги могли бы выдать кучу подробностей, так что не идеализируйте :)
     
  • 1.18, PnDx (ok), 20:33, 03/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    "PV-окружения теперь рассматриваются проектом Qubes как ненадёжные и в следующем выпуске Qubes 4.x планируется полностью перейти на окружения в режиме полной изоляции (HVM)."
    Хе-хе. Что-то Яну занесло. В довесок получить весь долбаный legacy из qemu?
    Пример: посмотрите на реализацию i8042 (если не вру). Что там в прошлый раз было? Флоповод? Часики (на которые hwclock смотрит) на очереди. (Qemu не виноват, что его назначили промышленным гипервизором, не вычистив код. Но результаты расхлёбываю в т.ч. я.)
     
     
  • 2.21, Аноним (-), 08:25, 04/05/2017 [^] [ответить]    [к модератору]  
  • +/
    Флопповод на i8042? Насколько помню, контроллер FDD это i82077.
     
  • 1.19, Аноним (-), 22:29, 03/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • +/
    А разве в Qubes приложения в PV запускаются от рута? Насколько я понял, XSA-213 и XSA-214 работают только если есть возможность загрузить собственный специально подготовленный модуль ядра.
     
     
  • 2.20, Аноним (-), 08:09, 04/05/2017 [^] [ответить]     [к модератору]  
  • +/
    Если честно, я тоже не совсем понял смысл фразы Рутковской This means that if ... весь текст скрыт [показать]
     
     
  • 3.22, Аноним (-), 08:59, 04/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Потому что только школьники считают, что браузер не ломается Или не ломается он... весь текст скрыт [показать]
     
     
  • 4.28, Аноним (-), 08:16, 07/05/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    И как это вы получите рута в полупустом контейнере на обновлённой системе, в кот... весь текст скрыт [показать]
     
  • 3.26, Ordu (ok), 22:58, 05/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > Про системные стеки понятно, но и вероятность атаки через них минимальна, но вот почему она упоминает Web Browser, который явно под обычным пользователем запускается.

    Потому, что -- сюрприз -- Рутковски не доверяет разграничениям доступа для процессов, которые предоставляет ОС. Это её парадигмальная установка. Если бы она доверяла, она бы не стала пилить Qubes, но организвала бы всё на этом разграничении: ведь нет никаких проблем с тем, чтобы создать по отдельному пользователю для каждого процесса.

     
  • 3.27, adfsa (?), 08:03, 07/05/2017 [^] [ответить]    [к модератору]  
  • +/
    потому что в qubes нет паролья на sudo по-умолчанию
     
     
  • 4.29, Аноним (-), 08:18, 07/05/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > потому что в qubes нет паролья на sudo по-умолчанию

    вы qubes  c чем-то путайте.

     
  • 1.24, fa (??), 10:00, 05/05/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –1 +/
    Интересно, что делает Amazon, когда появляются такие новости. Обновляют, перезагружают все свои датацентры?
     
     
  • 2.25, PnDx (ok), 11:05, 05/05/2017 [^] [ответить]    [к модератору]  
  • +/
    ±Вот это https://support.citrix.com/article/CTX132791
     
  • 2.30, нах (?), 15:11, 10/05/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    то же, что и когда "такие" не появляются - да, обновляют, штатная процедура. Содержимое при перезагрузке конкретной ноды - мигрирует, поэтому юзер ничего, обычно, не замечает - у него-то ничего не обновляется.
    Чего удивительного-то?

     
  • 2.31, Аноним (-), 03:49, 15/05/2017 [^] [ответить]    [к модератору]  
  • +/
    В общем-то да, у них явно есть live migration. Дайунтайм будет минимальным.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor