Article ID: 122298, created on Jul 11, 2014, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo hypervisor

Informationen

Die Openwall Group hat am 4. Juli 2014 eine Warnmeldung zu einer Sicherheitslücke herausgegeben. Weitere Informationen zu dieser Sicherheitslücke CVE-2014-4699 finden Sie auf der Openwall-Website.

Es wurde festgestellt, dass die Codepfade des ptrace-Subsystems bei bestimmten Linux-Kerneln dem Tracer erlauben, den Anweisungszeiger des Getracten auf eine nicht-kanonische Adresse zu setzen, die dann später bei der Rückkehr des Getracten in den Benutzermodus über diesysret-Anweisung verwendet wird; dies führt dazu, dass die über die Fehlerbehebungen für CVE-2005-1764 (Einführung einer Schutzseite zwischen dem im Benutzermodus zugänglichen virtuellen Adressraum und dem Beginn des nicht-kanonischen Adressraums) und CVE-2006-0744 (Härtung des Systemaufruf-Handlers) eingeführte Härtung effektiv umgangen wird.

Parallels bestätigt dieses kritische Problem. Durch diese Sicherheitslücke können nicht berechtigte lokale Container-Benutzer das Hostsystem zum Absturz bringen und womöglich Root-Berechtigungen für das Hostsystem erlangen.

Betroffene Umgebung

Intel-basierte Systeme

Auf Intel-CPUs führt sysret auf nicht-kanonische Adressen zu einem Fehler bei der Ausführung der sysret-Anweisung, und zwar nachdem der Stapelzeiger auf den Benutzermodus-Wert gesetzt wird, aber noch vor Änderung der CPL.

Parallels Virtuozzo Containers, Parallels Server Bare Metal und Parallels Cloud Server-Produkte verwenden denselben auf Red Hat Enterprise Linux basierten Kernel.

Laut Sicherheitshinweis im Red Hat-Kundenportal sind nur Kernel der Typen RHEL 6.x (2.6.32-Kernel) and RHEL 7.x (3.10-Kernel) betroffen; 5.x-Kernel sind nicht betroffen. Nachfolgend finden Sie eine Auflistung der betroffenen Parallels-Produkte:

  • Parallels Cloud Server 6.0 ist betroffen da es auf einem 2.6.32-basierten Kernel läuft.
  • Parallels Server Bare Metal 5.0 ist betroffen da es auf einem 2.6.32-basierten Kernel läuft.
  • Parallels Virtuozzo Containers für Linux 4.7 ist betroffen da es auf einem 2.6.32-basierten Kernel läuft.
  • Parallels Virtuozzo Containers für Linux 4.6 ist nicht betroffen da es auf einem 2.6.18-basierten Kernel läuft.
  • Parallels Server Bare Metal 4.0 ist nicht betroffen da es auf einem 2.6.18-basierten Kernel läuft.
  • Parallels Virtuozzo Containers für Linux 4.0 ist nicht betroffen da es auf einem 2.6.18-basierten Kernel läuft.

HINWEIS: Parallels Virtuozzo Containers für Linux 4.7, installiert auf CentOS 5.x, gilt als betroffen, da hier ein 2.6.32-basierter Kernel verwendet wird.

AMD-basierte Systeme

Systeme mit AMD-CPUs sind von dieser Sicherheitslücke nicht betroffen, da sysret auf AMD-CPUs vor der Änderung der CPL keinen Fehler verursacht.

Lösung

Um Ihre Umgebung abzusichern, müssen Sie ein Kernel-Update auf die Kernel-Version 2.6.32-042stab092.2 oder höher installieren. Parallels hat inzwischen Updates freigegeben, die auf dem 2.6.32-042stab092.2-Kernel basieren. Weitere Details hierzu finden Sie in den folgenden Freigabehinweisen (Release Notes):

Verwenden Sie den folgenden Befehl, um das neueste Update zu installiere:

  • For Parallels Cloud Server 6

    # yum update vzkernel vzkernel-firmware vzmodules vzkernel-devel
    

    HINWEIS: Stellen Sie sicher, dass das Repository parallels-cloud-server-updates im System aktiviert ist

  • Für Parallels Server Bare Metal 5 und Parallels Virtuozzo Containers for Linux 4.7

    #  vzup2date -m batch install --core --loader-autoconfig
    

    HINWEIS: Wenn die letzte Aktualisierung des Servers schon lange zurück liegt, tritt womöglich das im folgenden Artikel beschriebene Problem auf:

    117951: vzkernel-Update - Konflikt mit bfa-Firmware

Bitte beachten Sie, dass der Hardware-Node neu gestartet werden muss, um die Installation und Absicherung der Umgebung endgültig abzuschließen!

a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef 0c05f0c76fec3dd785e9feafce1099a9 c62e8726973f80975db0531f1ed5c6a2

Email subscription for changes to this article
Save as PDF