Russian Fedora

cообщество русскоязычных участников
международного проекта Fedora

Venom

Это архивная статья

Вчера была анонсирована крайне опасная уязвимость в коде KVM/Qemu - Venom (CVE-2015-3456).

Вкратце, дыра в коде виртуального флоппи-диска позволяет вырваться за пределы гостевой системы, в процесс Qemu. Очень опасная уязвимость, и обновления уже вышли - рекомендуем сначала обновиться, а потом читать дальше.

Но есть и хорошие новости! Если у вас работает SELinux, то вырваться дальше, в хостовую систему, не получится, сообщает нам в своей ленте Google+ наш коллега, Daniel P. Berrangé. Дело в том, что в KVM/Qemu уже давно штатно включена технология sVirt, разрабатываемая с 2008 года, и использующая SELinux или AppArmour. Наш коллега, Dan Walsh, как раз презентовал технологию в 2009 году. Эту ошибку sVirt + SELinux не исправляет, но ущерб радикально ограничивает - зловред не выпрыгнет за пределы ресурсов, выделенных отравленному процессу.

Разумеется, если вы наслушались анонимных аналитиков, которые рекомендуют отключить SELinux (например, ноль, раз, два, три, четыре и т.п.), т.к. "мешает работать", "ненужно" и т.п., и правда отключили его, то вы сами виноваты. Интересно, что некоторые из коллег-аналитиков регулярно задают нам вопросы типа "приведите хоть один пример, когда SELinux помог?". Как говорится, "никогда такого не было, и вот опять".

Комментарии