Meltdown & Spectre - Czy załatanie jądra gościa niezałatowanego hiperwizora zapobiega wyciekom pamięci między maszynami wirtualnymi?

12

24 godziny po opublikowaniu luk na dużą skalę Rackspace milczy na temat Spectre i Meltdown. Nie mają planu łatania wszystkich hiperwizorów Xen. Wszystkie ich nowsze serwery platformy są serwerami HVM, które są podatne na ataki. Starsze serwery PV nie są wrażliwe.

Zaktualizowałem jądro Linux moich gości HVM, ale Rackspace nie zaktualizował żadnego z ich hypervisorów. Czy zaktualizowanie jądra gościa na niezałatowanym hiperwizorze uniemożliwi maszynom wirtualnym „złego faceta” dostęp do pamięci wyciekającej z mojego załatanego hosta?

Danny F.
źródło
1
Zobacz także security.stackexchange.com/q/176709/11291
Michael Hampton

Odpowiedzi:

12

Z tego, co rozumiem na temat luk, nie - spekulacyjne ataki buforowania omijają wszystkie zabezpieczenia procesora przed procesem chwytającym pamięć z dowolnego dowolnego adresu.

Wierzę, że dotyczy to sąsiadujących maszyn wirtualnych (nawet tych załatanych w celu ochrony przed samym atakiem), a także przestrzeni pamięci jądra hiperwizora - ale nawet jeśli brakuje mi czegoś, co chroniłoby przed bezpośrednim ujawnieniem pamięci, istnieje również potencjał że osoba atakująca może użyć swojego dostępu do pamięci jądra, aby uzyskać pełniejszy dostęp do hiperwizora.

Zdecydowanie nie chcesz ryzykować uruchomienia wrażliwego obciążenia na niezakończonym hiperwizorze dowolnego rodzaju, jeśli nie ufasz wszystkim maszynom wirtualnym na nim działającym.

Shane Madden
źródło
6
Mówiąc krótko: O poprawionej jądra gość może uniemożliwić swoją maszynę wirtualną z dostępu do hypervisor lub inne maszyny wirtualne, ale to nie przeszkodzi inne maszyny wirtualne z dostępem do Ciebie!
Michael Hampton
Cześć Shane, to także moje przekonanie. Czy masz dokumentację, aby to zrobić? Chodzi przede wszystkim o pamięć łatanego gościa, który jest wrażliwy na innych gości na tym samym sprzęcie. Dzięki.
Danny F
2
@DannyF Najbardziej bezpośrednie odniesienie do tego, jakie udało mi się znaleźć, dotyczyło stopionego papieru - „fizycznej pamięci innych procesów, jądra oraz w przypadku rozwiązań piaskownicy współużytkujących jądro (np. Docker, LXC) lub Xen w trybie parawirtualizacji, pamięć jądra (lub hypervisora) i innych kolokowanych instancji
Shane Madden
-4

Spectre and Meltdown.

Gdzie zaczynamy? źle, mam na myśli bardzo złą informację prasową o czymś, co może, ale nie musi wpłynąć na twój komputer, stację roboczą, serwer lub serwer w chmurze. Tak, całkowicie tak jest, ale musisz mieć lokalny dostęp do procesora, który może być komputerem lub telefonem, Apple został podany przykładem, ale pomyślmy o jego procesorze ARM, więc każda platforma mobilna, która obsługuje (funkcja / ekspozycja mikrokodu / zbyt duża kontrola procesora z systemu operacyjnego / etc / etc)

Aplikacja musi działać na procesorze urządzenia, więc pomyślałbym, że dostęp do konsoli, a przynajmniej zdalny użytkownik, który uzyskuje dostęp do systemu, dostęp do urządzenia wejściowego ....

W tej chwili jedynym znanym sposobem na wykorzystanie tych luk jest lokalny / bezpośredni dostęp do procesora (ponownie może być zdalny, gdy masz SSH / VNC itp.)

Poniżej znajdują się łatki, które znalazłem do tej pory.

VMWare has released a security advisory for their ESXi, Workstation and Fusion products: VMSA-2018-0002
[https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html][1]

RedHat has released a security advisory for their qemu product:  [https://access.redhat.com/errata/RHSA-2018:0024][1]

Amazon has released a security advisory for their Amazon Linux AMI product: ALAS-2018-939

https://alas.aws.amazon.com/ALAS-2018-939.htm l

Teraz musi to być najlepsza odpowiedź na bieżący problem

Co powiedzieli nasi przyjaciele z BSD?

Złe google; (

sprawdzenie PowerShell dla tego samego;)

Jądro Linuksa Ok, mieliśmy ciekawy tydzień i do tej pory wszyscy wiedzą, dlaczego połączyliśmy wszystkie te dziwne łatki izolujące tablice stron x86, nie przestrzegając wszystkich normalnych reguł czasowych wydania.

Mogę / wrócę i edytuję ten post. Jestem pewien, że nie-problem (aż w naturze) nie będzie prawdziwym problemem długi rybitwa. Google naprawdę powinno było przestrzegać dat ujawnienia informacji tutaj! -1 dla Google

Andrew Smalley
źródło
„Amazon Linux (AMI)” to dystrybucja Linuksa Amazon, na którą wpływa ten sam sposób, co wszystkie inne systemy operacyjne gościa. Bardziej odpowiednie w tym kontekście jest aws.amazon.com/de/security/security-bulletins/AWS-2018-013 (sekcja początkowa) ogłoszenia EC2 (ich platforma wirtualizacji), ponieważ wydawało się, że próbujesz wymienić rozwiązania wirtualizacji.
Håkan Lindqvist
1
Czytając i czytając to ponownie, nie sądzę, że faktycznie rozwiązuje to pytanie? To w większości tylko rant na temat procesu ujawniania?
Håkan Lindqvist
Doceniam artykuł redakcyjny i linki do poprawek, ale ta odpowiedź jest myląca lub przynajmniej myląca. Uważam, że to wskazuje, że opisany przeze mnie scenariusz wymagałby lokalnego dostępu do hiperwizora xenserver, co nie jest prawdą. Jedynym wymaganiem jest zły facet mający własną maszynę wirtualną na tym samym hiperwizorze, co ofiara maszyny wirtualnej.
Danny F