The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]

15.08.2017 21:30  Новые уязвимости в Xen, позволяющие выйти за пределы гостевой системы

В гипервизоре Xen выявлено 5 уязвимостей, из которых четыре (CVE-2017-12135, CVE-2017-12137, CVE-2017-12136, CVE-2017-12134) потенциально позволяют выйти за пределы текущего гостевого окружения и повысить свои привилегии, а одна уязвимость(CVE-2017-12855) может привести к утечке содержимого памяти из адресного пространства других окружений или хост-системы.

Все уязвимости, за исключением CVE-2017-12134, вызваны ошибками в коде с реализацией интерфейса Grant Table, предназначенного для предоставления доступа к страницам памяти и передачи прав на манипуляцию с ними. Grant Table используется для организации совместного использования памяти между несколькими гостевыми системами и применяется, например, в общих для всех гостевых систем драйверах блочных устройств и ввода/вывода. Уязвимость CVE-2017-12134 присутствует в коде бэкенда паравиртуализированных блочных устройств Xen, входящего в состав ядра Linux, и позволяет из гостевой системы инициировать чтение или запись в некорректную область памяти.

Исправления пока доступны в виде патчей. Некоторые провайдеры публичных облачных систем были уведомлены о проблеме две недели назад и уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в список упреждающей отправки уведомлений, рекомендуется срочно установить обновление. Для эксплуатации наиболее опасных уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра.

  1. Главная ссылка к новости (https://www.qubes-os.org/news/...)
  2. OpenNews: Релиз гипервизора Xen 4.9
  3. OpenNews: Серия критических уязвимостей в гипервизоре Xen
  4. OpenNews: Уязвимости в гипервизоре Xen, позволяющие выйти за пределы гостевого окружения
  5. OpenNews: Уязвимость в Xen, позволяющая выйти за пределы гостевой системы
  6. OpenNews: Уязвимость в Xen, позволяющая получить доступ к хост-системе
Лицензия: CC-BY
Тип: Проблемы безопасности
Ключевые слова: xen
При перепечатке указание ссылки на opennet.ru обязательно
Обсуждение Ajax/Линейный | Раскрыть все сообщения | RSS
 
  • 1.1, A.Stahl (ok), 21:37, 15/08/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +1 +/
    https://www.opennet.ru/openforum/vsluhforumID3/110863.html#1
    ВСД отступает -- есть пути для отхода. Сердцебиение нормализуется, дрожь ослабевает, дыхание приходит в норму.
    Так лучше.
     
     
  • 2.2, Аноним (-), 22:08, 15/08/2017 [^] [ответить]    [к модератору]
  • +/
    Подорожник приложил?
     
  • 2.38, Fantomas (??), 14:08, 17/08/2017 [^] [ответить]    [к модератору]
  • +/
    Ксенофобы
     
  • 1.3, Вовк (?), 22:29, 15/08/2017 [ответить] [показать ветку] [···]    [к модератору]
  • +5 +/
    шо, опять?!
     
  • 1.4, Аноним (-), 22:30, 15/08/2017 [ответить] [показать ветку] [···]    [к модератору]
  • –2 +/
    А есть какие-то другие способы виртуализации? Может академические разработки?
     
     
  • 2.5, Аноним (-), 22:43, 15/08/2017 [^] [ответить]    [к модератору]  
  • +/
    kvm ваш к.о.
     
  • 2.6, пох (?), 23:32, 15/08/2017 [^] [ответить]     [к модератору]  
  • +/
    _способов_ - нет В смысле, в xen используются оба общепринятых - hv и pv то ес... весь текст скрыт [показать]
     
     
  • 3.7, Аноним (-), 23:41, 15/08/2017 [^] [ответить]    [к модератору]  
  • +/
    >А реализаций второго

    VirtIO

     
  • 3.10, Вася Пупкин (?), 00:39, 16/08/2017 [^] [ответить]     [к модератору]  
  • –2 +/
    Это вы так думаете, или у вас есть какие нибудь пруф линки ... весь текст скрыт [показать]
     
     
  • 4.32, Аноним (-), 14:38, 16/08/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    Да.
     
  • 3.22, Аноним (-), 10:04, 16/08/2017 [^] [ответить]    [к модератору]  
  • +/
    >скопипастили от вмвари до microsoft

    Почему тогда молчит Software Freedom Conservancy?

     
     
  • 4.31, пох (?), 13:43, 16/08/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    так ключевая деталь архитектуры, без которой в то время ничего бы толком не рабо... весь текст скрыт [показать]
     
  • 4.36, ИМяимя (?), 07:44, 17/08/2017 [^] [ответить]    [к модератору]  
  • +/
    Потому что скопировали идею, а не код. Ваш КО
     
  • 2.17, Аноним (-), 08:41, 16/08/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    пользуйся XenOrcgestra - это веб-морда. вроде ниче так...
    или сиди в консоли. это трушнее некуда
     
     
  • 3.18, Ананизм (?), 09:01, 16/08/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    ксен оркестр -странная поделка.
    знаем, проходили.
     
  • 1.14, Ананизм (?), 07:09, 16/08/2017 [ответить] [показать ветку] [···]    [к модератору]  
  • –3 +/
    лично меня в ксене выбешивает то, что клиент только под винду. приходится на работе пользоваться этим.
    почему бы ребятам из цитрикса не забубенить веб интерфейс на том же апаче?
     
     
  • 2.20, plamya (ok), 09:40, 16/08/2017 [^] [ответить]    [к модератору]  
  • +/
    Воспользуйтесь Oracle VM. Там всё управление через веб-морду. Последняя версия - 3.4.3. Тот же Xen, только с плюшками и for free
     
     
  • 3.25, Ананизм (?), 11:24, 16/08/2017 [^] [ответить]    [к модератору]  
  • –2 +/
    гражданин, Вы, прежде, чем выдавать советы, поинтересовались бы почему именно ксен.
    да и лично Вы поможете перенести туеву хучу работающих виртуалок в оракл?)
     
     
  • 4.28, plamya (ok), 12:26, 16/08/2017 [^] [ответить]     [к модератору]  
  • +1 +/
    Уважаемый, лично я помогал, помогаю и буду помогать мигрировать за денежку Есть... весь текст скрыт [показать]
     
  • 2.21, пох (?), 09:51, 16/08/2017 [^] [ответить]     [к модератору]  
  • +/
    потому что, во-первых, получится классная дыра вчера rhn плюнула в меня очередн... весь текст скрыт [показать]
     
     
  • 3.24, Аноним (-), 11:10, 16/08/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    gt оверквотинг удален Первый адекватный и достаточно многогранный ответ попавш... весь текст скрыт [показать]
     
     
  • 4.29, пох (?), 13:04, 16/08/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Если есть знания и скил в этом вопросе

    патчи, типа, открыты, никто ж не мешает посмотреть самому, что и как там исправляют.
    by design. В смысле, не бывает таких пряморуких, которые напишут здоровенные куски хитросвязанного кода, потом еще сто раз перепишут ради новых веяний, и не ошибутся.

    просто не считайте виртуализацию волшебным средством от всех болезней. xen отличная штука, если вам нужно, к примеру, сделать стопицот тестовых виртуалок, вынести нахрен неудобосетапливаемую программу с юзерских систем на виртуальный десктоп, изолировать очередное чудо-в-коробочке от конкретного сервера, чтоб когда он навернется, без проблем переехать на соседний и т д. (про бигклауды и *aaS помолчим, там все варианты очень так себе)

    А хонипоты для кулхакеров, так чтоб они друг друга и тебя самого не увидели и не разломали в принципе, боюсь, на этой платформе надежно не сделаешь (да и  хз на какой - надежно. Наверное, на s390, ее никто толком не знает, непонятно, с какого конца хакать ;-)

     
  • 3.26, Ананизм (?), 11:35, 16/08/2017 [^] [ответить]    [к модератору]  
  • +/
    какая дыра из апача? Вы о чем?
    если Вы выставляете свои ксены в МИР, а не разрешаете доступ по идентификации айпи хотя бы,то это Ваши "проблемы".

    и, вообще, какой-то Вы злобный. опенсорсники ему не угодили, видите-ли...

     
     
  • 4.27, Аноним (-), 11:48, 16/08/2017 [^] [ответить]     [к модератору]  
  • –1 +/
    Злобности не почувствовал Тем более в сторону опенсорсников А так да, что то н... весь текст скрыт [показать]
     
     
  • 5.35, Ананизм (?), 18:51, 16/08/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    удивляют подобные, что и пишут с ошибками простые слова...
    какой там код...
    не один дебаггер не справится.
     
  • 4.30, пох (?), 13:28, 16/08/2017 [^] [ответить]    [к модератору]  
  • –1 +/
    > какая дыра из апача? Вы о чем?

    CVE-2017-9788 CVE-2017-3167 CVE-2017-3169 - выбирайте, свежак (еще одна для хостеров, вам не актуально).

    > если Вы выставляете свои ксены в МИР, а не разрешаете доступ по
    > идентификации айпи хотя бы,то это Ваши "проблемы".

    ну да, ну да - если у тебя конторка из пяти человек, это, конечно, не проблемы.
    Только зачем в такой конторке гуевая система управления платформой для виртуалок, там и виртуалок-то все пять штук установлены в 2013м году, новая добавится через год, а еще через год либо они банкроты, либо сервер пора менять.
    А когда их пара сотен, причем само управление виртуалками уже тоже пришлось отдать в другие подразделения, чтобы освободить себе время от рутины "заведите стописятпятую - копией шаблона тридцатой, а какой - не помним" или "мы все сломали, перезагрузите ее... упс, восстановите" - то и "идентификация айпи" уже не кажется панацеей - работничков в такой лавке уже слишком много, не все из них пряморукие, и айпишников, кстати, тоже.

    А vmware, наверное, дурачки, чего они свои вцентры все патчат и патчат, кто ж их "в мир выставляет-то"

    > и, вообще, какой-то Вы злобный. опенсорсники ему не угодили, видите-ли...

    не мне, вам же ж - не написали, представляете, нормального веб-междумордия. Хотя и спеки открыты, и попытки в общем-то были, и во всяких меганавороченных "orchestration" поделиях xen вроде как и поддерживается.

     
     
  • 5.33, Ананизм (?), 18:44, 16/08/2017 [^] [ответить]    [к модератору]  
  • +/
    Ваше мнение.
    но как Вы могли подсчитать кол-во vm и sr, коих более пяти сотен...
    это не Вы добитесь к нам в периметровый шлюз, не?
     
     
  • 6.39, пох (?), 00:59, 18/08/2017 [^] [ответить]    [к модератору]  
  • +/
    > но как Вы могли подсчитать кол-во vm и sr, коих более пяти сотен...

    это ни о чем. Я и больше могу наклонировать совершенно ненужных vm, у меня железки потянут.
    (главное, ничего в тех vm не делать)
    А вот сотрудников в вашей хипста-лавке - кот наплакал (уборщицы не в счет). И да, для этого не надо ломать ваш дурацкий "шлюз" - это прекрасно видно по вашей писанине. Вот по всей этой бредятине "да чего там бояться каких-то дыр в апаче - мы вдвоем с васей точно его ломать не будем" и "идентификации по ip". (не говоря уже про успевание посмотреть, кто там ломится в ваш чудо-шлюз вместо сливания всех этих логов в devnull)

    У меня вот идентификация по сертификатам, которые, между прочим, экспайрятся, а не наследуются вместе с ip и рабочим местом, и через пяток итераций принадлежат уже неведомо кому. Но никакой уверенности, что там ходят только хорошие люди, у меня лично нет, я большую часть никогда не видел и не увижу, и поводов расслабляться и забывать про обновления внутри периметра (да не одного) тоже нет.

    Все эти полумеры просто слегка сужают атакуемую площадь и позволяют чуть выиграть время - пока ставится срочно-апдейт, в том числе.

     
  • 2.37, xen (??), 12:51, 17/08/2017 [^] [ответить]    [к модератору]  
  • +/
    > почему бы ребятам из цитрикса не забубенить веб интерфейс на том же апаче?

    А почему это должно заботить Citrix? Веб-интерфейсов хватает, если хорошо поискать.

     
     
  • 3.40, пох (?), 01:00, 18/08/2017 [^] [ответить]    [к модератору]  
  • +/
    > А почему это должно заботить Citrix? Веб-интерфейсов хватает, если хорошо поискать.

    назовите первые три приличных, если нашли?

     
  • 1.19, Аноним (-), 09:25, 16/08/2017 [ответить] [показать ветку] [···]     [к модератору]  
  • +/
    Обновлений для XenServer не будет, ждите XenServer 7 3 Существует еще проблема,... весь текст скрыт [показать]
     
     
  • 2.23, пох (?), 10:04, 16/08/2017 [^] [ответить]    [к модератору]  
  • +1 +/
    > Обновлений для XenServer не будет, ждите XenServer 7.3.

    стесняюсь спросить - а денег им заплатить не пробовали? Или это вам саппорт такое ответил?

    > Существует еще проблема, что обновиться на новую версию нельзя,
    > так как производители не успевают за Citrix или не хотят (Raid Adaptec

    ну а зачем вы его покупали? Или для вас сюрприз, что адаптек категорически не желает открывать свои драйвера, со времен 2000го года, и с ними всегда будут проблемы у тех, кто выкладывает исходники?

     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:


      Закладки на сайте
      Проследить за страницей
    Created 1996-2018 by Maxim Chirkov  
    ДобавитьПоддержатьВебмастеруГИД  
    Hosting by Ihor