Article ID: 122298, created on Jul 11, 2014, last review on Sep 19, 2014

  • Applies to:
  • Virtuozzo 6.0
  • Virtuozzo containers for Linux 4.7
  • Virtuozzo hypervisor

Информация

4 июля 2014 года группа Openwall опубликовала оповещение о наличии уязвимости. Текст оповещения CVE-2014-4699 доступен на веб-сайте Openwall.

Было обнаружено, что некоторые пути кода подсистемы ptrace ядра Linux позволяют отладчику установить указатель инструкций на неканонический адрес, который затем используется для возвращения в пользовательский режим при помощи инструкции sysret, практически обходя защиту, реализованную через исправления для уязвимостей CVE-2005-1764 (введена защитная страница между концом доступного виртуального адресного пространства пользовательского режима и началом неканонического) и CVE-2006-0744 (защита обработчика вызовов системы).

Parallels подтверждает эту критическую уязвимость, которая позволяет непривилегированным локальным пользователям контейнера вызвать сбой основной системы, а также, вероятно, получить права суперпользователя (root) основной системы.

Среды, содержащие уязвимость

Системы на базе процессоров Intel

На процессорах Intel выполнение инструкции sysret с указанием адреса в неканоническом формате вызывает ошибку самой инструкции sysret после записи в указатель стека значения пользовательского режима, но до изменения текущего уровня привилегий (CPL).

В продуктах Parallels Virtuozzo Containers, Parallels Server Bare Metal и Parallels Cloud Server используется одинаковое ядро, основанное на ядре Red Hat Enterprise Linux.

Согласно уведомлению на портале пользователей Red Hat, уязвимости подвержены только ядра RHEL 6.x (версия ядра 2.6.32) и RHEL 7.x (версия ядра 3.10), ядра версий 5.x не подвержены данной уязвимости. Список продуктов Parallels, содержащих уязвимость:

  • Parallels Cloud Server 6.0 содержит уязвимость, поскольку используется ядро версии 2.6.32.
  • Parallels Server Bare Metal 5.0 содержит уязвимость, поскольку используется ядро версии 2.6.32.
  • Parallels Virtuozzo Containers for Linux 4.7 содержит уязвимость, поскольку используется ядро версии 2.6.32.
  • Parallels Virtuozzo Containers for Linux 4.6 не содержит уязвимость, поскольку используется ядро версии 2.6.18.
  • Parallels Server Bare Metal 4.0 не содержит уязвимость, поскольку используется ядро версии 2.6.18.
  • Parallels Virtuozzo Containers for Linux 4.0 не содержит уязвимость, поскольку используется ядро версии 2.6.18.

ПРИМЕЧАНИЕ. Parallels Virtuozzo Containers для Linux 4.7 при установке на CentOS 5.x предположительно содержит уязвимость, поскольку используется ядро версии 2.6.32.

Системы на базе процессоров AMD

Системы на базе процессоров AMD не подвержены данной уязвимости, так как при выполнении инструкции sysret на процессорах AMD перед изменением текущего уровня привилегий (CPL) исключение не генерируется.

Решение

Чтобы обеспечить безопасность среды, необходимо установить обновление, содержащее ядро версии 2.6.32-042stab092.2 или более новой. Для продуктов Parallels выпущены обновления, основанные на ядре версии 2.6.32-042stab092.2. Более подробная информация доступна в следующих примечаниях к выпуску:

Чтобы установить последнее обновление, введите следующую команду:

  • Для Parallels Cloud Server 6

    # yum update vzkernel vzkernel-firmware vzmodules vzkernel-devel
    

    ПРИМЕЧАНИЕ. Убедитесь, что в системе включен репозиторий parallels-cloud-server-updates.

  • Для Parallels Server Bare Metal 5 и Parallels Virtuozzo Containers for Linux 4.7

    #  vzup2date -m batch install --core --loader-autoconfig
    

    ПРИМЕЧАНИЕ. Если сервер не был обновлен в течение длительного времени, вероятно, возникнет проблема, описанная в следующей статье:

    117951: vzkernel update conflicts with bfa-firmware

Пожалуйста, обратите внимание, что для завершения установки и обеспечения безопасности среды требуется перезагрузка аппаратного узла.

a26b38f94253cdfbf1028d72cf3a498b 2897d76d56d2010f4e3a28f864d69223 e8e50b42231236b82df27684e7ec0beb d02f9caf3e11b191a38179103495106f 0dd5b9380c7d4884d77587f3eb0fa8ef 0c05f0c76fec3dd785e9feafce1099a9 c62e8726973f80975db0531f1ed5c6a2

Email subscription for changes to this article
Save as PDF