LinuxのKVM仮想化コンポーネントは、以前はAMDSVM仮想化に依存する仮想マシンゲストがホストに侵入することを可能にしました。このバグは、対処される前に2020年後半から2021年3月までLinuxカーネルで存続し、ユーザースペースコンポーネント内のバグにも依存しなかった、このようなゲストからホストへのブレイクアウトの最初の既知の問題です。
GoogleのProjectZeroイニシアチブは本日、このゲストからホストへのブレイクアウトの問題に関するケーススタディを公開しました。この脆弱性は、AMD EPYCプロセッサの問題に起因するのではなく、カーネルベースの仮想マシン(KVM)AMDバックエンドコード内のSVMネスト仮想化処理に関するバグに起因します。
ケーススタディの全文は、 Googleのブログであり、この問題に詳細に関心のある人にとっては興味深い技術的な読み物です。
Linux 5.10および5.11は、元々CVE-2021-29657として追跡されたこの脆弱性の影響を受けていましたが、Linux 5.12サイクルの後半で修正され、以前のシリーズのポイントリリースにバックポートされていました。ほとんどの主要なクラウドプロバイダーがKVMに依存していることを考えると、これは厄介ですが、少なくともバグはカーネル内で短命であり、ソフトウェアのバグでしたが、この場合、パブリック/クラウドインフラストラクチャが新しいカーネルにあまり速く移行しないのは幸運なことです。バージョン。
投稿の締めくくりとして、「このブログ投稿では、ネストされた仮想化をサポートするためのKVMのAMD固有のコードの小さなバグによって可能になったKVMのみのVMエスケープについて説明しています。幸いなことに、これを実現した機能悪用可能なバグは、問題が発見される前は2つのカーネルバージョン(v5.10、v5.11)にのみ含まれていたため、脆弱性の実際の影響は最小限に抑えられました。バグとその悪用は、非常に悪用可能であることを示すデモンストレーションとして機能します。セキュリティの脆弱性は、仮想化エンジンのコアにまだ存在する可能性があります。仮想化エンジンは、ほぼ確実に小さく、十分に監査されたコードベースです。KVMなどのハイパーバイザーの攻撃面は、純粋なLoCの観点からは比較的小さいですが、その低レベルの性質は近いです。ハードウェアとの相互作用と純粋な複雑さにより、セキュリティ上重要なバグを回避することは非常に困難です。”
関係するGoogleのエンジニアは、検出機能への投資を増やし、VMホストをより適切に分離することを求めています。幸い、このソフトウェアの脆弱性はAMDエンジニアによって導入されていませんが、 AMDは導入されています。ここ数か月でより多くのLinuxソフトウェアエンジニアを採用し、Linuxソフトウェアサポート全体を改善し続けているため、仮想化の分野を含め、新しい開口部を投稿し続けています。
