Article ID: 122298, created on Jul 11, 2014, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo hypervisor

信息

Openwall 公司已于 2014 年 7 月 4 日发出有关漏洞的警告。欲了解更多有关 CVE-2014-4699 的信息请进入 Openwall 网站

据发现某个 Linux 内核的 ptrace 子系统代码路径会允许跟踪者设置被跟踪者的指令指示器到非规范性的地址,之后该地址将被用于被跟踪者通过 sysret 指令返回到用户模式,而有效地绕过通过 CVE-2005-1764(在用户模式可访问的虚拟地址空间末尾和非规范性地址开端之间引进了守护页面)和 CVE-2006-0744(系统调用处理程序硬化)的修复程序引进的硬化 (hardening) 处理。

Parallels 已确证该问题的严重性,它能够让没有权限的本地 Container 用户令主机系统崩溃并获取主机系统的 root 权限。

受影响的环境

基于 Intel 的系统

在 Intel CPU 上 sysret 指令到非规范性的地址会在堆栈指针被设置为用户模式值后但在 CPL 被修改之前于 sysret 本身指令上生成一个默认指令。

Parallels Virtuozzo Containers、Parallels Server Bare Metal 和 Parallels Cloud Server 产品会应用基于 Red Hat Enterprise Linux 内核的同一内核。

根据红帽客户门户网站的通知 仅 RHEL 6.x (2.6.32- kernels) 和 RHEL 7.x (3.10- kernels) 内核受到影响,而 5.x 内核、并未受影响。以下列举了受影响的 Parallels 产品:

  • Parallels Cloud Server 6.0 受到影响因为它在基于 2.6.32 的内核上运行。
  • Parallels Server Bare Metal 5.0 会受到影响因为它在基于 2.6.32 的内核上运行。
  • Parallels Virtuozzo Containers for Linux 4.7 会受到影响因为它在基于 2.6.32 的内核上运行。
  • Parallels Virtuozzo Containers for Linux 4.6 未受影响因为它在基于 2.6.18 的内核上运行。
  • Parallels Server Bare Metal 4.0 未受影响因为它在基于 2.6.18 的内核上运行。
  • Parallels Virtuozzo Containers for Linux 4.0 未受影响因为它在基于 2.6.18 的内核上运行。

注意:安装于 CentOS 5.x 上的 Parallels Virtuozzo Containers for Linux 4.7 可能会受影响因为它使用的是基于 2.6.32 的内核。

基于 AMD 的系统

在 AMD CPU 上运行的系统不会受到该问题的影响因为在 CPL 被修改之前 AMD CPU 上的 sysret 不会生成默认指令。

解决方案

为了保证您环境的安全,有必要安装包含内核版本为 2.6.32-042stab092.2 或更新版的内核更新。Parallels 已发行基于 2.6.32-042stab092.2 内核的更新。欲了解更多详情请参阅以下发行说明:

要安装最新更新请使用以下命令:

  • 针对 Parallels Cloud Server 6

    # yum update vzkernel vzkernel-firmware vzmodules vzkernel-devel
    

    注意:请确保系统中已启用了 parallels-cloud-server-updates

  • 针对 Parallels Server Bare Metal 5Parallels Virtuozzo Containers for Linux 4.7

    #  vzup2date -m batch install --core --loader-autoconfig
    

    注意:如果服务器很久没有更新过,那么很有可能遇到以下文章中阐述的问题:

    117951: vzkernel update conflicts with bfa-firmware

请注意,要完成更新安装并保障环境的安全,请务必重启硬件节点!

a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef 0c05f0c76fec3dd785e9feafce1099a9 c62e8726973f80975db0531f1ed5c6a2

Email subscription for changes to this article