Suicide
23.08.2019, 19:55
Раскрыты (https://blog.bi0s.in/2019/08/20/Pwn/VM-Escape/2019-07-29-qemu-vm-escape-cve-2019-14378/) детали критической уязвимости (CVE-2019-14378 (https://security-tracker.debian.org/tracker/CVE-2019-14378)) в обработчике SLIRP, по умолчанию применяемом в QEMU для организации канала связи между виртуальным сетевым адаптером в гостевой системе и сетевым бэкендом на стороне QEMU. Проблема также затрагивает системы виртуализации на базе KVM (в режиме Usermode (https://www.linux-kvm.org/page/Networking)) и Virtualbox, в которых используются бэкенд slirp из QEMU, а также приложения, применяющие сетевой стек в пространстве пользователя libSLIRP (https://github.com/rd235/libslirp) (эмулятор TCP/IP).
Уязвимость позволяет добиться выполнение кода на стороне хост-системы с правами процесса-обработчика QEMU при отправки со стороны гостевой системы специально оформленного очень большого сетевого пакета, для которого требуется проведение фрагментации. Из-за ошибки в функции ip_reass(), вызываемой при пересборке входящих пакетов, первый фрагмент может не уместится в выделенный буфер и его хвост будет записан в следующие за буфером области памяти.
Для тестирования уже доступен (https://github.com/vishnudevtj/exploits/tree/master/qemu/CVE-2019-14378) рабочий прототип эксплоита, в котором предусмотрен обход ASLR и выполнение кода через перезапись памяти массива main_loop_tlg, включающий список QEMUTimerList с обработчиками, вызываемыми по таймеру. Уязвимость уже устранена в Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1735654) и SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-14378), но остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-14378), Arch Linux (https://security.archlinux.org/CVE-2019-14378) и FreeBSD (http://www.vuxml.org/freebsd/). В Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14378.html) и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14378) проблема не проявляется из-за неиспользования slirp. Уязвимость остаётся неисправленой в последнем выпуске libslirp 4.0 (https://gitlab.freedesktop.org/slirp/libslirp/-/releases) (исправление пока доступно в виде патча (https://gitlab.freedesktop.org/slirp/libslirp/commit/126c04acbabd7ad32c2b018fe10dfac2a3bc1210)).
Видео по ссылке http://www.opennet.ru/opennews/art.shtml?num=51343
23.08.2019
http://www.opennet.ru/opennews/art.shtml?num=51343
Уязвимость позволяет добиться выполнение кода на стороне хост-системы с правами процесса-обработчика QEMU при отправки со стороны гостевой системы специально оформленного очень большого сетевого пакета, для которого требуется проведение фрагментации. Из-за ошибки в функции ip_reass(), вызываемой при пересборке входящих пакетов, первый фрагмент может не уместится в выделенный буфер и его хвост будет записан в следующие за буфером области памяти.
Для тестирования уже доступен (https://github.com/vishnudevtj/exploits/tree/master/qemu/CVE-2019-14378) рабочий прототип эксплоита, в котором предусмотрен обход ASLR и выполнение кода через перезапись памяти массива main_loop_tlg, включающий список QEMUTimerList с обработчиками, вызываемыми по таймеру. Уязвимость уже устранена в Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1735654) и SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-14378), но остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-14378), Arch Linux (https://security.archlinux.org/CVE-2019-14378) и FreeBSD (http://www.vuxml.org/freebsd/). В Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2019-14378.html) и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14378) проблема не проявляется из-за неиспользования slirp. Уязвимость остаётся неисправленой в последнем выпуске libslirp 4.0 (https://gitlab.freedesktop.org/slirp/libslirp/-/releases) (исправление пока доступно в виде патча (https://gitlab.freedesktop.org/slirp/libslirp/commit/126c04acbabd7ad32c2b018fe10dfac2a3bc1210)).
Видео по ссылке http://www.opennet.ru/opennews/art.shtml?num=51343
23.08.2019
http://www.opennet.ru/opennews/art.shtml?num=51343