Article ID: 122298, created on Jul 11, 2014, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo hypervisor

Informazione

Il gruppo Openwall ha pubblicato un avviso relativo a una vulnerabilità il 4 luglio 2014. Per ulteriori informazioni su CVE-2014-4699 visitare il sito web Openwall.

È stato rilevato che certi percorsi di codice del sottosistema ptrace del kernel Linux consentono al tracer di impostare il puntatore d'istruzione del tracee verso un indirizzo non canonico, che viene più tarde utilizzato dal tracee per la modalità utente tramite l'istruzione sysret bypassando in modo effettivo la limitazione introdotta tramite le correzioni per CVE-2005-1764 (guard page introdotto tra la fine dello spazio dell'indirizzo virtuale accessibile in modalità utente e l'inizio di quello non canonico) e CVE-2006-0744 (limitazione del gestore del system call).

Parallels conferma questo problema critico che consente agli utenti di Container locali privi di privilegi di crashare il sistema host e molto probabilmente ottenere privilegi root del sistema.

Ambiente interessato

Sistemi basati su Intel

Su CPU Intel sysret a un indirizzo non canonico causa un errore sull'istruzione sysret stessa dopo che il puntatore dello stack sia impostato sul valore della modalità utente ma prima che il CPL sia modificato.

I prodotti Parallels Virtuozzo Containers, Parallels Server Bare Metal e Parallels Cloud Server utilizzano lo stesso kernel, che è basato sul kernel Red Hat Enterprise Linux.

Secondo l'annuncio sul Red Hat Customer Portal unicamente i kernel RHEL 6.x (kernel 2.6.32) e RHEL 7.x (kernel 3.10) sono interessati mentre i kernel 5.x non sono interessati. Di seguito si elencano i prodotti Parallels interessati:

  • Parallels Cloud Server 6.0 è interessato poiché viene eseguito su un kernel basato 2.6.32.
  • Parallels Server Bare Metal 5.0 è interessato poiché eseguito su un kernel basato 2.6.32.
  • Parallels Virtuozzo Containers per Linux 4.7 è interessato poiché eseguito su un kernel basato 2.6.32.
  • Parallels Virtuozzo Containers per Linux 4.6 non è interessato poiché viene eseguito su un kernel basato su 2.6.18.
  • Parallels Server Bare Metal 4.0 non è interessato poiché viene eseguito su un kernel basato su 2.6.18.
  • Parallels Virtuozzo Containers per Linux 4.0 non è interessato poiché viene eseguito su un kernel basato su 2.6.18.

NOTA: Parallels Virtuozzo Containers per Linux 4.7 installato su CentOS 5.x è considerato quale interessato perché utilizza un kernel basato su 2.6.32.

Sistemi basati su AMD

I sistemi eseguiti su CPU AMD non sono vulnerabili a questo problema perché sysret su CPU AMD non genera un errore prima della modifica CPL.

Risoluzione

Per proteggere l'ambiente utilizzato è necessario installare un aggiornamento del kernel contenente la versione del kernel 2.6.32-042stab092.2 o versioni successive. Parallels ha rilasciato aggiornamenti basati sul kernel 2.6.32-042stab092.2. Ulteriori dettagli sono disponibili nelle release note:

Per installare l'ultimo aggiornamento usare il seguente comando:

  • Per Parallels Cloud Server 6

    # yum update vzkernel vzkernel-firmware vzmodules vzkernel-devel
    

    NOTA: accertarsi che il repository parallels-cloud-server-updates sia abilitato nel sistema.

  • Per Parallels Server Bare Metal 5 e Parallels Virtuozzo Containers per Linux 4.7

    #  vzup2date -m batch install --core --loader-autoconfig
    

    NOTA: se il server non era stato aggiornato per un lungo periodo di tempo è probabile che si possa verificare il problema descritto nel seguente articolo:

    117951: vzkernel update conflicts with bfa-firmware

Tenere presente che il riavvio del nodo hardware è richiesto per completare l'installazione e proteggere l'ambiente!

a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef 0c05f0c76fec3dd785e9feafce1099a9 c62e8726973f80975db0531f1ed5c6a2

Email subscription for changes to this article
Save as PDF