Article ID: 122298, created on Jul 11, 2014, last review on Oct 8, 2014

  • Applies to:
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo hypervisor

Información

El 4 de julio del 2014, el grupo Openwall publicó una alerta acerca de una vulnerabilidad. En el sitio web de Openwall encontrará más información acerca de CVE-2014-4699.

Se ha detectado que las rutas de código del subsistema ptrace de determinados kernels Linux permiten al proceso padre definir el puntero de instrucción del proceso hijo a una dirección no canónica que posteriormente es usada por el proceso hijo en el modo de usuario mediante la instrucción sysret, omitiendo de forma efectiva la seguridad proporcionada por las correcciones publicadas para CVE-2005-1764 (que introdujo una página de protección entre el fin del espacio de la dirección virtual accesible en modo de usuario y el principio del no canónico) y para CVE-2006-0744 (protección del controlador de llamadas de sistema).

Parallels confirma esta incidencia crítica, que permite a usuarios de un contenedor local sin privilegios dañar el sistema host y probablemente obtener privilegios root para el sistema host.

Entorno afectado

Sistemas basados en Intel

En CPUs Intel, sysret a una dirección no canónica ocasiona un error en la propia instrucción sysret tras haber definido el puntero al valor modo de usuario pero antes de que CPL sea modificado.

Parallels Virtuozzo Containers, Parallels Server Bare Metal y Parallels Cloud Server utilizan el mismo kernel basado en el kernel de Red Hat Enterprise Linux.

Tal y como se indica en el comunicado en el portal para clientes de Red Hat esta vulnerabilidad sólo afecta a los kernels RHEL 6.x (2.6.32- kernels) y RHEL 7.x (3.10- kernels) y en ningún caso afecta a los kernels 5.x. A continuación puede ver la lista de los productos de Parallels que se ven afectados por esta incidencia:

  • Parallels Cloud Server 6.0 se ve afectado, puesto que se ejecuta en un kernel basado en 2.6.32.
  • Parallels Server Bare Metal 5.0 se ve afectado, puesto que se ejecuta en un kernel basado en 2.6.32.
  • Parallels Virtuozzo Containers para Linux 4.7 se ve afectado, puesto que se ejecuta en un kernel basado en 2.6.32.
  • Parallels Virtuozzo Containers para Linux 4.6 no se ve afectado, puesto que se ejecuta en un kernel basado en 2.6.18.
  • Parallels Server Bare Metal 4.0 no se ve afectado, puesto que se ejecuta en un kernel basado en 2.6.18.
  • Parallels Virtuozzo Containers para Linux 4.0 no se ve afectado, puesto que se ejecuta en un kernel basado en 2.6.18.

NOTA: Parallels Virtuozzo Containers para Linux 4.7 instalado en CentOS 5.x se considera afectado porque este utiliza un kernel basado en 2.6.32.

Sistemas basados en AMD

Los sistemas que se ejecutan en CPUs AMD no son vulnerables a esta incidencia, ya que sysret en las CPUs AMD no genera ningún fallo antes del cambio de CPL.

Resolución

Con el fin de proteger su entorno, es necesario instalar una actualización del kernel que contenga la versión del kernel 2.6.32-042stab092.2 o una versión posterior. Parallels ha publicado actualizaciones basadas en el kernel 2.6.32-042stab092.2. Si desea más información, consulte las notas de la versión:

Para instalar la actualización más reciente, ejecute el siguiente comando:

  • En el caso de Parallels Cloud Server 6

    # yum update vzkernel vzkernel-firmware vzmodules vzkernel-devel
    

    NOTA: compruebe que el repositorio parallels-cloud-server-updates está habilitado en el sistema

  • En el caso de Parallels Server Bare Metal 5 y Parallels Virtuozzo Containers for Linux 4.7

    #  vzup2date -m batch install --core --loader-autoconfig
    

    NOTA: si el servidor no fue actualizado durante un largo periodo de tiempo, probablemente experimentará la incidencia descrita en el siguiente artículo:

    117951: conflicto de la actualización de vzkernel con bfa-firmware

Tenga en cuenta que para completar la instalación y proteger su entorno es necesario reiniciar el nodo hardware.

a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef 0c05f0c76fec3dd785e9feafce1099a9 c62e8726973f80975db0531f1ed5c6a2

Email subscription for changes to this article
Save as PDF