Article ID: 122298, created on Jul 11, 2014, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo hypervisor

Informations

Le groupe Openwall a émis une alerte de vulnérabilité le 04 juillet 2014. Pour plus d'informations sur la vulnérabilité CVE-2014-4699, consultez le site Web Openwall.

Le problème suivant a été découvert : certains chemins de code du sous-système ptrace du noyau Linux permettent au processus « tracer » (père, traceur) de définir le pointeur d'instruction du « tracee » (fils, suivi) sur une adresse non canonique. Celle-ci est utilisée ultérieurement lors du retour au mode utilisateur du « tracee » via l'instruction sysret. La sécurisation renforcée mise en place par les correctifs de vulnérabilités CVE-2005-1764 et CVE-2006-0744 est outrepassée. Le correctif CVE-2005-1764 correspond à l'implémentation d'une page de garde entre la fin de l'espace d'adresse virtuelle accessible en mode utilisateur et le début de l'adresse non canonique. Quant au correctif CVE-2006-0744, il correspond au renforcement du handler de l'appel système.

Parallels confirme cette vulnérabilité qui permet à des utilisateurs de conteneurs locaux sans privilèges de faire crasher le système hôte, et par conséquent d'être capables d'obtenir les privilèges root du système hôte.

Environnements affectés

Systèmes basés sur Intel

Sur les CPU Intel, définir l'instruction sysret vers une adresse non canonique entraîne une erreur sur l'instruction sysret elle-même, après la définition du pointeur de pile sur la valeur "user mode" (mode utilisateur) et avant le changement du CPL.

Les produits Parallels Virtuozzo Containers, Parallels Server Bare Metal et Parallels Cloud Server utilisent le même noyau basé sur le noyau Red Hat Enterprise Linux.

D'après l'avis publié sur le portail client Red Hat seuls les noyaux RHEL 6.x (noyaux 2.6.32) et RHEL 7.x (noyaux 3.10) sont affectés. Les noyaux 5.x ne sont pas affectés. Voici une liste des produits Parallels affectés :

  • Parallels Cloud Server 6.0 est affecté, car il est exécuté sur un noyau basé sur la version 2.6.32.
  • Parallels Server Bare Metal 5.0 est affecté, car il est exécuté sur un noyau basé sur la version 2.6.32.
  • Parallels Virtuozzo Containers pour Linux 4.7 est affecté, car il est exécuté sur un noyau basé sur la version 2.6.32.
  • Parallels Virtuozzo Containers pour Linux 4.6 n'est pas affecté, car il est exécuté sur un noyau basé sur la version 2.6.18.
  • Parallels Server Bare Metal 4.0 est 'est pas affecté, car il est exécuté sur un noyau basé sur la version 2.6.18.
  • Parallels Virtuozzo Containers pour Linux 4.0 n'est pas affecté, car il est exécuté sur un noyau basé sur la version 2.6.18.

REMARQUE : Parallels Virtuozzo Containers pour Linux 4.7 installé sur CentOS 5.x est considéré comme affecté, car il utilise un noyau basé sur la version 2.6.32.

Systèmes basés sur AMD

Les systèmes exécutés sur des CPU AMD ne sont pas vulnérables face à ce problème, car sysret sur les CPU AMD ne génère pas d'erreur avant le changement du CPL.

Résolution

Afin de sécuriser votre environnement, il est nécessaire d'installer la mise à jour du noyau avec la version 2.6.32-042stab092.2 ou une version ultérieure. Parallels a publié des mises à jour basées sur le noyau 2.6.32-042stab092.2. Pour en savoir plus, consultez les notes de mises à jour suivantes :

Pour installer la dernière mise à jour, utilisez la commande suivante :

  • Parallels Cloud Server 6 :

    # yum update vzkernel vzkernel-firmware vzmodules vzkernel-devel
    

    REMARQUE : assurez-vous que le répertoire parallels-cloud-server-updates soit activé dans le système.

  • Parallels Server Bare Metal 5 et Parallels Virtuozzo Containers pour Linux 4.7 :

    #  vzup2date -m batch install --core --loader-autoconfig
    

    REMARQUE : si un serveur n'a pas été mis à jour depuis longtemps, vous risquez de rencontrer le problème décrit dans cet article.

    117951 : conflit de la mise à jour vzkernel avec le pack bfa-firmware

Notez que vous devez rebooter le hardware node pour terminer l'installation et sécuriser l'environnement !

a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef 0c05f0c76fec3dd785e9feafce1099a9 c62e8726973f80975db0531f1ed5c6a2

Email subscription for changes to this article
Save as PDF