Meltdown & Spectre - Verhindert das Patchen des Gast-Kernels eines nicht gepatchten Hypervisors Speicherlecks zwischen VMs?

12

24 Stunden nach der Veröffentlichung der Sicherheitslücken im großen Stil schweigt Rackspace über Spectre und Meltdown. Sie haben keinen Plan zum Patchen aller Xen-Hypervisoren. Alle neueren Plattformserver sind anfällige HVM-Server. Ältere PV-Server sind nicht anfällig.

Ich habe den Linux-Kernel meiner HVM-Gäste aktualisiert, aber Rackspace hat keinen ihrer Hypervisoren aktualisiert. Verhindert das Aktualisieren des Gastkerns auf einem nicht gepatchten Hypervisor, dass "Bad Guy" -VMs auf Speicher zugreifen, der von meinem gepatchten Host übertragen wurde?

Danny F
quelle
1
Siehe auch security.stackexchange.com/q/176709/11291
Michael Hampton

Antworten:

12

Nach meinem Verständnis der Sicherheitsanfälligkeiten, nein - die spekulativen Caching-Angriffe umgehen alle Schutzmaßnahmen der CPU gegen einen Prozess, der Speicher von einer beliebigen Adresse abruft.

Ich glaube, dies würde die benachbarten VMs (auch die, die zum Schutz vor dem Angriff selbst gepatcht wurden) sowie den Kernel-Speicherplatz des Hypervisors einschließen - aber selbst wenn ich etwas vermisse, das vor direkter Speicherfreigabe schützen würde, gibt es auch Potenzial dass der Angreifer seinen Zugriff auf den Kernelspeicher nutzen kann, um einen umfassenderen Zugriff auf den Hypervisor zu erhalten.

Sie möchten auf keinen Fall riskieren, eine vertrauliche Arbeitslast auf einem nicht gepatchten Hypervisor auszuführen, wenn Sie nicht allen VMs vertrauen, die darauf ausgeführt werden.

Shane Madden
quelle
6
Einfach ausgedrückt: Ein gepatchter Gastkernel verhindert möglicherweise, dass Ihre VM auf den Hypervisor oder andere VMs zugreift, jedoch nicht, dass andere VMs auf Ihren zugreifen!
Michael Hampton
Hallo Shane, das glaube ich auch. Haben Sie Unterlagen, um das zu sichern? Der Punkt speziell über den Speicher eines gepatchten Gastes, der für andere Gäste auf derselben Hardware anfällig ist. Vielen Dank.
Danny F
2
@DannyF Der direkteste Verweis darauf, den ich finden konnte, war im Kernel- Papier - "physischer Speicher anderer Prozesse, des Kernels und im Fall von Sandbox-Lösungen mit gemeinsamer Nutzung des Kernels (z. B. Docker, LXC) oder Xen im Paravirtualisierungsmodus". Erinnerung an den Kernel (oder Hypervisor) und andere gemeinsam lokalisierte Instanzen "
Shane Madden
-4

Spectre und Meltdown.

Wo fangen wir an? Eine schlechte, ich meine eine sehr schlechte Pressemitteilung von etwas, das Ihren Computer, Ihre Workstation, Ihren Server oder Ihren Server in der Cloud betreffen kann oder nicht. Ja, es ist völlig, aber Sie müssen lokalen Zugriff auf die zugeordnete CPU haben, das kann ein PC oder ein Telefon sein, wie es scheint. Apple ist ein Beispiel dafür, aber denken wir an die ARM-CPU. Das ist also jede mobile Plattform, die die (-Funktion unterstützt / Mikrocode-Belichtung / zu viel Kontrolle über die CPU vom Betriebssystem aus / etc / etc)

Die Anwendung muss auf der CPU des Geräts ausgeführt werden, damit der Konsolenzugriff oder zumindest der Remotebenutzer, der auf das System zugreift, den Gerätezugriff ermöglicht.

Derzeit ist die einzige bekannte Möglichkeit, diese Sicherheitsanfälligkeiten auszunutzen, der lokale / direkte Zugriff auf die CPU.

Unten sind die Patches, die ich bisher gefunden habe.

VMWare has released a security advisory for their ESXi, Workstation and Fusion products: VMSA-2018-0002
[https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html][1]

RedHat has released a security advisory for their qemu product:  [https://access.redhat.com/errata/RHSA-2018:0024][1]

Amazon has released a security advisory for their Amazon Linux AMI product: ALAS-2018-939

https://alas.aws.amazon.com/ALAS-2018-939.htm l

Dies muss die beste Antwort auf das aktuelle Problem sein

Was sagten unsere BSD-Freunde?

Schlechtes Google; (

ein Powershell check dafür;)

Der Linux-Kernel Ok, wir hatten eine interessante Woche und mittlerweile weiß jeder, warum wir all diese seltsamen x86-Page-Table-Isolations-Patches zusammengeführt haben, ohne alle normalen Release-Timing-Regeln zu befolgen.

Ich kann / werde wiederkommen und diesen Beitrag bearbeiten. Ich bin sicher, dass die Nicht-Ausgabe (bis in die Wildnis) kein echtes Problem lange Seeschwalbe sein wird. Google hätte die Veröffentlichungstermine hier wirklich einhalten müssen! -1 für Google

Andrew Smalley
quelle
"Amazon Linux (AMI)" ist die Linux-Distribution von Amazon, die genauso betroffen ist wie alle anderen Gastbetriebssysteme. In diesem Zusammenhang ist aws.amazon.com/de/security/security-bulletins/AWS-2018-013 (erster Abschnitt) für die Ankündigung von EC2 (deren Virtualisierungsplattform) relevanter , da Sie anscheinend versucht haben, Virtualisierungslösungen aufzulisten.
Håkan Lindqvist
1
Wenn ich das lese und wieder lese, glaube ich nicht, dass es tatsächlich die Frage anspricht? Es geht meistens nur um den Offenlegungsprozess?
Håkan Lindqvist
Ich schätze das Editorial und die Links für Korrekturen, aber diese Antwort ist irreführend oder zumindest verwirrend. Ich glaube, es deutet darauf hin, dass das von mir beschriebene Szenario einen lokalen Zugriff auf den xenserver-Hypervisor erfordert, was jedoch nicht zutrifft. Die einzige Voraussetzung ist, dass der Bösewicht eine eigene VM auf demselben Hypervisor wie die VM des Opfers hat.
Danny F