Confira !!
Alguns dias atrás, relatamos uma vulnerabilidade de segurança no código de virtualização do Intel KVM para o kernel Linux. Essa vulnerabilidade decorre do código do kernel inacabado e foi corrigida para o Linux 5.6 Git e agora está sendo portada para os kernels 4.4 / 4.9 / 4.14 / 5.5 suportados.
Na segunda-feira, quando os patches CVE-2020-2732 apareceram pela primeira vez, pouco se sabia publicamente sobre o problema, mas ele se originou de um código incompleto na funcionalidade vmx_check_intercept em não verificar todas as intercepções possíveis e, por sua vez, poderia acabar simulando instruções que deveriam ser desativado pelo hypervisor.
Desde então, a divulgação da Red Hat na lista revelou detalhes mais precisos ",Foi encontrada uma falha na maneira como o hypervisor KVM manipulava a emulação de instruções para o convidado L2 quando a virtualização aninhada (= 1) está ativada. Na emulação de instruções, o convidado L2 pode induzir o hipervisor L0 a acessar bits sensíveis do hipervisor L1. Um convidado L2 pode usar essa falha para acessar potencialmente as informações do hipervisor L1. "
Um detalhe importante a ser reforçado em relação ao CVE-2020-2732 é que a virtualização aninhada KVM deve ser ativada para esta vulnerabilidade e a única exposição é às CPUs Intel.
Enquanto o kernel Linux 5.6 Git estava protegido com os patches necessários desde segunda-feira, conforme descrito no artigo acima, agora estamos vendo esses patches voltando à série de kernel estável suportada. O atual ciclo do kernel Linux 5.5 verá essa mitigação presente no kernel Linux 5.5.7, dada a fila de revisão de hoje. Atingir também as filas de revisão hoje para os kernels LTS futuros coloca a mitigação nos kernels Linux 4.14.172, 4.9.125 e 4.4.125. As filas de revisão dos patches foram enviadas hoje, enquanto os lançamentos reais do kernel devem ocorrer nos próximos dias.
Fonte
Até a próxima !!
Nenhum comentário:
Postar um comentário