Article ID: 122298, created on Jul 11, 2014, last review on Aug 12, 2014

  • Applies to:
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo hypervisor

情報

2014 年 7 月 4 日、Openwall グループは脆弱性についての警告を発表しました。この脆弱性 CVE-2014-4699 についての詳細は、Openwall のウェブサイトで提供されています。

特定の Linux カーネルの ptrace サブシステムコードパスにて、トレースするプロセスがトレースされるプロセスの命令ポインタを非カノニカルアドレスに設定することができます。この命令ポインタはその後、トレースされるプロセスが sysret 命令経由でユーザモードに復帰するときに使用され、CVE-2005-1764 に対する修正(ユーザモードでアクセス可能な仮想アドレススペースの終了と非カノニカルの開始の間にガードページを導入)および CVE-2006-0744 に対する修正(システムコールハンドラ堅牢化)によって実装されたセキュリティの堅牢化をバイパスしてしまいます。

Parallels は、本問題により、ホストへの権限を持たないローカルのコンテナユーザがホストシステムをクラッシュさせ、ホストシステムの root 権限を取得することが可能であることを確認しました。

影響を受ける環境

Intel ベースのシステム

Intel CPU では、非カノニカルアドレスへの sysret により、スタックポインタがユーザモード値に設定された後、CPL が変更される前に、sysret 命令自体でフォールトが発生します。

Parallels Virtuozzo Containers、Parallels Server Bare Metal、および Parallels Cloud Server 製品では、Red Hat Enterprise Linux カーネルに基づく同じカーネルを利用しています。

Red Hat Customer Portal での告知によると、影響を受けるのは RHEL 6.x(2.6.32- カーネル)および RHEL 7.x(3.10- カーネル)カーネルのみであり、5.x カーネルに影響はありません。影響を受ける Parallels 製品は次のとおりです。

  • Parallels Cloud Server 6.0 は、2.6.32 ベースのカーネルで実行されるため、影響を受けます
  • Parallels Server Bare Metal 5.0 は、2.6.32 ベースのカーネルで実行されるため、影響を受けます
  • Parallels Virtuozzo Containers for Linux 4.7 は、2.6.32 ベースのカーネルで実行されるため、影響を受けます
  • Parallels Virtuozzo Containers for Linux 4.6 は、2.6.18 ベースのカーネルで実行されるため、影響を受けません
  • Parallels Server Bare Metal 4.0 は、2.6.18 ベースのカーネルで実行されるため、影響を受けません
  • Parallels Virtuozzo Containers for Linux 4.0 は、2.6.18 ベースのカーネルで実行されるため、影響を受けません

注:CentOS 5.x にインストールされた Parallels Virtuozzo Containers for Linux 4.7 は、2.6.32 ベースのカーネルを使用するため、影響を受けます

AMD ベースのシステム

AMD CPU で機能するシステムには、この問題による脆弱性はありません。AMD CPU では、sysret が CPL の変更前にフォールトを生成しないためです。

解決策

環境のセキュリティを強化するために、カーネルバージョン 2.6.32-042stab092.2 以降を含むカーネルアップデートをインストールしていただく必要があります。Parallels は、2.6.32-042stab092.2 カーネルに基づくアップデートをリリースしました。詳細は、以下のリリースノートで提供しています。

最新のアップデートをインストールするには、次のコマンドを使用します。

  • Parallels Cloud Server 6

    # yum update vzkernel vzkernel-firmware vzmodules vzkernel-devel
    

    注:parallels-cloud-server-updates リポジトリがシステムで有効化されていることを確認してください。

  • Parallels Server Bare Metal 5 および Parallels Virtuozzo Containers for Linux 4.7

    #  vzup2date -m batch install --core --loader-autoconfig
    

    注:サーバを長期間アップデートしていない場合、次の KB 記事に記述された問題が発生する可能性があります。

    117951: vzkernel update conflicts with bfa-firmware

環境へのインストールとセキュリティ強化を完了するためには、ハードウェアノードの再起動が必要になることにご注意ください。

a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef 0c05f0c76fec3dd785e9feafce1099a9 c62e8726973f80975db0531f1ed5c6a2

Email subscription for changes to this article