forum.opennet.ru - "Уязвимость в драйвере vhost-net из состава ядра Linux" (19)

"Уязвимость в драйвере vhost-net из состава ядра Linux"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость в драйвере vhost-net из состава ядра Linux"	+/–
Сообщение от opennews (??), 16-Апр-20, 09:59
В драйвере vhost-net, обеспечивающем работу virtio net на стороне хост-окружения, выявлена уязвимость (CVE-2020-10942), позволяющая локальному пользователю инициировать переполнение стека ядра через отправку устройству /dev/vhost-net определённым образом оформленного ioctl(VHOST_NET_SET_BACKEND). Проблема вызвана отсутствием должной проверки содержимого поля sk_family в коде функции get_raw_socket()... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=52747
Ответить \| Правка \| Cообщить модератору

Оглавление

О как 8230 Робот Петя Google syzkaller нашёл багу и тут же её размотал В э, PnD (??), 10:16 , 16-Апр-20, (3) –1

Независимый аудит от Анонима показал что уязвимые строки есть и в 4 5https git, Аноним (6), 10:52 , 16-Апр-20, (6) +2

Вот тут https lkml org lkml 2020 2 15 125 Петя отчитался о проделанной работе , PnD (??), 12:01 , 16-Апр-20, (8) +2

Так ты про вот это https syzkaller appspot com x bisect txt x 13204371e00000 В, Аноним (13), 12:52 , 16-Апр-20, (13) +1

просто дебиан копал до 3 16 56А петя с васей копали только до 4 6Так-то vhost-ne, нах. (?), 13:04 , 16-Апр-20, (16)

Шо в прошлой, что в этой новости 404 на странице Арча - у них всё ОК , КО (?), 10:24 , 16-Апр-20, (4) +5

Ядро упало, от переполнения стека Ну это знаешь как всегда почитал про уязвимо, Ordu (ok), 12:39 , 16-Апр-20, (11) +2
Это как нет антивируса нет вируса , Аноним (13), 12:55 , 16-Апр-20, (15)
Они добавляют спустя несколько дней, как и починят и всё уже будет известно Ну л, iPony129412 (?), 13:05 , 16-Апр-20, (17) –1

Быстро Бесплатно Дыряво , Аноним (6), 10:35 , 16-Апр-20, (5) –14

Медленно, за деньги, дыряво и поболее, не юзабельно , Анонкос (?), 15:33 , 16-Апр-20, (19) +6

отпетая фигня , kuku (ok), 02:06 , 17-Апр-20, (32)

crw------- 1 root root 10, 238 Sep 11 2019 dev vhost-netcrw------- 1 root root, нах. (?), 11:07 , 16-Апр-20, (7) +4

А вам надо переписать эксплоит прямо под qemu-kvm Чтобы любой киддис мог поклас, PnD (??), 12:10 , 16-Апр-20, (9) +1

пишите, чо Донатов не обещаю, но точно пригодится У меня масса друзей Но подход, нах. (?), 12:54 , 16-Апр-20, (14) +1

берёшь виртуальную машину где-нибудь в aws gce azure, запускаешь эксплоит и роня, Нанобот (ok), 12:15 , 16-Апр-20, (10)

к сожалению, уронить таким способом получится только вложенные виртуалки, которы, нах. (?), 12:51 , 16-Апр-20, (12) +2

а, ну тогда да, абсолютно безвредный баг, на уязвимость не тянет, Нанобот (ok), 15:50 , 17-Апр-20, (33)

гугль же ж То есть тянет на средство обхода дополнительных костылей и прокладок, нах. (?), 16:15 , 18-Апр-20, (34)

Сообщения [Сортировка по ответам | RSS]

3. Сообщение от PnD (??), 16-Апр-20, 10:16 –1 +/–

О как… Робот Петя (Google syzkaller) нашёл багу и тут же её "размотал".
В этом месте я не понял, Linux 4.6 — это нижняя зааффекченная версия или просто ограничение в алгоритме.
Кто знаком с Петей ближе, прокомментируйте пожалуйста.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #6

4. Сообщение от КО (?), 16-Апр-20, 10:24 +5 +/–

Шо в прошлой, что в этой новости 404 на странице Арча - у них всё ОК!

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #15, #17

5. Сообщение от Аноним (6), 16-Апр-20, 10:35 –14 +/–

Быстро. Бесплатно. Дыряво.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #19

6. Сообщение от Аноним (6), 16-Апр-20, 10:52 +2 +/–

Независимый аудит от Анонима показал что уязвимые строки есть и в 4.5
https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...
и в 4.6 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin...
Откуда кстати другной Аноним взял цифру 4.6? В Дебиане написано что уязвимо все до 3.16.56-1

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #8, #16

7. Сообщение от нах. (?), 16-Апр-20, 11:07 +4 +/–

crw------- 1 root root 10, 238 Sep 11 2019 /dev/vhost-net
crw------- 1 root root 10, 241 Sep 11 2019 /dev/vhost-vsock
опять надо эту уязвизьгмость запускать от рута уже полученного на хосте? Расходимся, сенсация не состоялась.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #10

8. Сообщение от PnD (??), 16-Апр-20, 12:01 +2 +/–

Вот тут https://lkml.org/lkml/2020/2/15/125 Петя отчитался о проделанной работе. И приложил PoC.
В протоколе — тесты начиная с 4.6, что меня спросонья несколько удивило (вроде как "bisect" — про нахождение "всё починившего" коммита методом научного тыка, а за 4.6 я про kvm не помню интересного…). * fix таки было 16032be56c1f66770da15cb94f0eb366c37aff6e "virtio_net: add ethtool support for set and get of settings", но не про это.
* ИЧСХ, отчёт от 15.02.2020. Два месяца трудились (над тремя строчками, при том что практически "носом ткнули").

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #13

9. Сообщение от PnD (??), 16-Апр-20, 12:10 +1 +/–

А вам надо переписать эксплоит прямо под qemu-kvm? Чтобы любой киддис мог покласть хост с 50…100 ВМ? (На моей грядке это типовая загрузка гипервизора.)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #14

10. Сообщение от Нанобот (ok), 16-Апр-20, 12:15 +/–

берёшь виртуальную машину где-нибудь в aws/gce/azure, запускаешь эксплоит и роняешь хост вместе с сотней других виртуалок

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #12

11. Сообщение от Ordu (ok), 16-Апр-20, 12:39 +2 +/–

Ядро упало, от переполнения стека. Ну это знаешь как всегда: почитал про уязвимость, руки так и тянутся попробовать её в деле.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

12. Сообщение от нах. (?), 16-Апр-20, 12:51 +2 +/–

к сожалению, уронить таким способом получится только вложенные виртуалки, которые ты сам внутри этой виртуальной машины зачем-то запустил.
это драйвер _хоста_, не виртуалки. Тот vhost-net что внутри нее - он не для общения с хостом, а чтоб самому им быть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #33

13. Сообщение от Аноним (13), 16-Апр-20, 12:52 +1 +/–

Так ты про вот это https://syzkaller.appspot.com/x/bisect.txt?x=13204371e00000 В целом да он только судя по всему он до 4.6 проверяет ниже нет.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8

14. Сообщение от нах. (?), 16-Апр-20, 12:54 +1 +/–

пишите, чо. Донатов не обещаю, но точно пригодится.
У меня масса друзей.
Но подходящий баг придется самому поискать, от этого - пользы никакой, увы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

15. Сообщение от Аноним (13), 16-Апр-20, 12:55 +/–

Это как нет антивируса нет вируса.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

16. Сообщение от нах. (?), 16-Апр-20, 13:04 +/–

> Откуда кстати другной Аноним взял цифру 4.6? В Дебиане написано что уязвимо все до 3.16.56-1
просто дебиан копал до 3.16.56
А петя с васей копали только до 4.6
Так-то vhost-net с нами с 2.6.34-rc1 как минимум.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

17. Сообщение от iPony129412 (?), 16-Апр-20, 13:05 –1 +/–

Они добавляют спустя несколько дней, как и починят и всё уже будет известно.
Ну лень несколько раз редактировать.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #4

19. Сообщение от Анонкос (?), 16-Апр-20, 15:33 +6 +/–

Медленно, за деньги, дыряво и поболее, не юзабельно.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #32

32. Сообщение от kuku (ok), 17-Апр-20, 02:06 +/–

отпетая фигня...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

33. Сообщение от Нанобот (ok), 17-Апр-20, 15:50 +/–

а, ну тогда да, абсолютно безвредный баг, на "уязвимость" не тянет

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #34

34. Сообщение от нах. (?), 18-Апр-20, 16:15 +/–

гугль же ж. То есть тянет на средство обхода дополнительных костылей и прокладок поверх стандартных юниксовых прав - selinux, cgroups и т д.
Но, увы, только крэш.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

3. Сообщение от PnD (??), 16-Апр-20, 10:16	–1 +/–
О как… Робот Петя (Google syzkaller) нашёл багу и тут же её "размотал". В этом месте я не понял, Linux 4.6 — это нижняя зааффекченная версия или просто ограничение в алгоритме. Кто знаком с Петей ближе, прокомментируйте пожалуйста.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #6

4. Сообщение от КО (?), 16-Апр-20, 10:24	+5 +/–
Шо в прошлой, что в этой новости 404 на странице Арча - у них всё ОК!
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11, #15, #17

5. Сообщение от Аноним (6), 16-Апр-20, 10:35	–14 +/–
Быстро. Бесплатно. Дыряво.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #19

6. Сообщение от Аноним (6), 16-Апр-20, 10:52	+2 +/–
Независимый аудит от Анонима показал что уязвимые строки есть и в 4.5 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... и в 4.6 https://git.kernel.org/pub/scm/linux/kernel/git/torvalds/lin... Откуда кстати другной Аноним взял цифру 4.6? В Дебиане написано что уязвимо все до 3.16.56-1
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3 Ответы: #8, #16

7. Сообщение от нах. (?), 16-Апр-20, 11:07	+4 +/–
crw------- 1 root root 10, 238 Sep 11 2019 /dev/vhost-net crw------- 1 root root 10, 241 Sep 11 2019 /dev/vhost-vsock опять надо эту уязвизьгмость запускать от рута уже полученного на хосте? Расходимся, сенсация не состоялась.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9, #10

8. Сообщение от PnD (??), 16-Апр-20, 12:01	+2 +/–
Вот тут https://lkml.org/lkml/2020/2/15/125 Петя отчитался о проделанной работе. И приложил PoC. В протоколе — тесты начиная с 4.6, что меня спросонья несколько удивило (вроде как "bisect" — про нахождение "всё починившего" коммита методом научного тыка, а за 4.6 я про kvm не помню интересного…). * fix таки было 16032be56c1f66770da15cb94f0eb366c37aff6e "virtio_net: add ethtool support for set and get of settings", но не про это. * ИЧСХ, отчёт от 15.02.2020. Два месяца трудились (над тремя строчками, при том что практически "носом ткнули").
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6 Ответы: #13

9. Сообщение от PnD (??), 16-Апр-20, 12:10	+1 +/–
А вам надо переписать эксплоит прямо под qemu-kvm? Чтобы любой киддис мог покласть хост с 50…100 ВМ? (На моей грядке это типовая загрузка гипервизора.)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #14

10. Сообщение от Нанобот (ok), 16-Апр-20, 12:15	+/–
берёшь виртуальную машину где-нибудь в aws/gce/azure, запускаешь эксплоит и роняешь хост вместе с сотней других виртуалок
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #12

11. Сообщение от Ordu (ok), 16-Апр-20, 12:39	+2 +/–
Ядро упало, от переполнения стека. Ну это знаешь как всегда: почитал про уязвимость, руки так и тянутся попробовать её в деле.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

12. Сообщение от нах. (?), 16-Апр-20, 12:51	+2 +/–
к сожалению, уронить таким способом получится только вложенные виртуалки, которые ты сам внутри этой виртуальной машины зачем-то запустил. это драйвер _хоста_, не виртуалки. Тот vhost-net что внутри нее - он не для общения с хостом, а чтоб самому им быть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #33

13. Сообщение от Аноним (13), 16-Апр-20, 12:52	+1 +/–
Так ты про вот это https://syzkaller.appspot.com/x/bisect.txt?x=13204371e00000 В целом да он только судя по всему он до 4.6 проверяет ниже нет.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8

14. Сообщение от нах. (?), 16-Апр-20, 12:54	+1 +/–
пишите, чо. Донатов не обещаю, но точно пригодится. У меня масса друзей. Но подходящий баг придется самому поискать, от этого - пользы никакой, увы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

15. Сообщение от Аноним (13), 16-Апр-20, 12:55	+/–
Это как нет антивируса нет вируса.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

16. Сообщение от нах. (?), 16-Апр-20, 13:04	+/–
> Откуда кстати другной Аноним взял цифру 4.6? В Дебиане написано что уязвимо все до 3.16.56-1 просто дебиан копал до 3.16.56 А петя с васей копали только до 4.6 Так-то vhost-net с нами с 2.6.34-rc1 как минимум.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

17. Сообщение от iPony129412 (?), 16-Апр-20, 13:05	–1 +/–
Они добавляют спустя несколько дней, как и починят и всё уже будет известно. Ну лень несколько раз редактировать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #4

19. Сообщение от Анонкос (?), 16-Апр-20, 15:33	+6 +/–
Медленно, за деньги, дыряво и поболее, не юзабельно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5 Ответы: #32

32. Сообщение от kuku (ok), 17-Апр-20, 02:06	+/–
отпетая фигня...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19

33. Сообщение от Нанобот (ok), 17-Апр-20, 15:50	+/–
а, ну тогда да, абсолютно безвредный баг, на "уязвимость" не тянет
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #34

34. Сообщение от нах. (?), 18-Апр-20, 16:15	+/–
гугль же ж. То есть тянет на средство обхода дополнительных костылей и прокладок поверх стандартных юниксовых прав - selinux, cgroups и т д. Но, увы, только крэш.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #33