Jilicsanaanta KVM waxay u oggolaaneysaa fulinta koodh ka baxsan nidaamka martida ee ku shaqeeya AMD

Cilmi baarayaal ka tirsan kooxda Google Project Zero ayaa maalmo ka hor ku soo bandhigay barta ay ku leeyihiin waxay aqoonsadeen u nuglaanta (CVE-2021-29657) ee ku taal hypervisor-ka KVM (waa ilo furan oo Linux ah oo ku saleysan Linux oo taageera qalabka casriga-xawaareynta x86, ARM, PowerPC, iyo S / 390) wuxuu kuu ogolaanayaa inaad iska ilaaliso go'doominta nidaamka martida oo aad koodhkaaga ku socodsiiso dhinaca deegaanka martida loo yahay.

Boostada ayaa xustay in dhibaatada wuxuu ka muuqdaa Linux kernel 5.10-rc1 ilaa v5.12-rc6, taas oo ah, wuxuu daboolayaa oo kaliya keli 5.10 iyo 5.11 (Inta badan laamaha xasilloon ee qaybinta ma saameyn dhibaatadu.) Dhibaatadu waxay ku jirtaa habka nested_svm_vmrun, oo lagu hirgeliyay iyadoo la adeegsanayo kordhinta AMD SVM (Mashiinka Aaladda Sugan) oo u oggolaaneysa soo gelitaanka nested ee nidaamyada martida.

Qoraalkan maqaallada ah, waxaan ku sifeynayaa u nuglaanshaha nambarka qaaska ah ee KDM ee AMD oo aan ka wada hadlayaa sida cayayaankaan ugu beddeli karo mashiin dhammaystiran oo baxsad ah. Ilaa intaan ogahay, kani waa qoritaankii ugu horreeyay ee dadweyne ee KVM kala-goynta martida-martigelinta ee aan ku tiirsaneyn cayayaanka qaybaha isticmaalaha sida QEMU.

Cayayaanka laga wada hadlay ayaa loo qoondeeyay CVE-2021-29657, wuxuu saameeyaa noocyada yar yar ee v5.10-rc1 ilaa v5.12-rc6, waxaana la dhejiyay dabayaaqadii bishii Maarso 2021. Maaddaama cayayaanka kaliya uu noqday mid laga faa'iideysan karo v5.10 oo la helay qiyaastii 5 bilood ka dib, inta badan goobaha dhabta ah ee KVM la geeyo waa inaysan saameyn. Weli waxaan u maleynayaa in dhibaatadu tahay daraasad xiiso leh oo ku saabsan shaqada loo baahan yahay si loo dhiso meel deggan oo marti-gelin ah oo ka soo horjeeda KVM waxaanan rajaynayaa in qodobkani ka dhigi karo kiiska ah in isku-duwaha kormeerayaashu aysan ahayn oo keliya dhibaatooyinka aragtida.

Cilmi-baadhayaashu waxay xusayaan in hirgelinta saxda ah ee shaqadan, 'hypervisor' waa inuu dhexgalo dhammaan tilmaamaha SVM ku shaqeeyaan nidaamyada martida, ku daydaan dabeecaddeeda oo ku waafajiso gobolka qalabka, taas oo ah hawl aad u adag.

Ka dib markii ay falanqeeyeen hirgelinta KVM ee la soo jeediyay, cilmi baarayaashus la kulmay qalad macquul ah oo u oggolaanaya waxyaabaha ku jira MSR (Diiwaangelinta nooca gaarka ah) ee martida loo yahay saameyn ku leh nidaamka martida, taas oo loo isticmaali karo in lagu fuliyo koodhka heerka martigeliyaha.

Gaar ahaan, fulinta hawlgalka VMRUN ee martida labaad ee heerka labaad (L2 oo laga bilaabay marti kale) waxay keeneysaa wicitaan labaad oo loo diro nested_svm_vmrun waxayna kharribtaa qaabdhismeedka svm-> nested.hsave, kaas oo lagu daboolay xogta vmcb ee nidaamka martida L2 .

Natiijo ahaan, xaalad ayaa soo ifbaxeysa halka heerka martida L2 ay suurtogal tahay in lagu xasuusto qaab dhismeedka 'svm-> nested.msrpm, kaas oo kaydiya waxoogaa yar oo MSR ah, in kasta oo ay sii socoto adeegsiga, iyo helitaanka MSR ee martida deegaanka.

Tani waxay ka dhigan tahay, tusaale ahaan, in xasuusta martida la baari karo iyadoo la tuurayo xusuusta loo qoondeeyay ee habka booskeeda isticmaale ama xaddidaadda kheyraadka waqtiga CPU iyo xusuusta si fudud loo dhaqan gelin karo. 

Intaa waxaa sii dheer, KVM waxay ka soo dejin kartaa inta badan shaqada la xiriirta jilitaanka aaladda qalabka meesha isticmaalaha.

Dhibaatadu waxay ku jirtaa koodhka loo adeegsado nidaamyada leh processor-ka AMD (kvm-amd.ko module) mana ka muuqdo processor-yada Intel.

 Banaanka dhowr aaladood oo xasaasi ah oo waxqabad leh oo laxiriira khalkhal galinta, dhamaan koodhka heerka hoose ee isku dhafan ee bixinaya diskiga dhijitaalka ah, shabakada ama helitaanka GPU ayaa la geyn karaa goobta isticmaalaha  

Cilmi-baadhayaashu marka lagu daro sharraxaadda dhibaatada Waxay sidoo kale diyaariyeen nooc shaqo oo ka faa'iideysi ah taas oo u oggolaanaysa in xidid xidid laga helo deegaanka martida ee deegaanka martida loo yahay nidaam leh processor AMD Epyc 7351P iyo Linux 5.10 kernel.

Waxaa la arkay in Tani waa martidii ugu horreysay ee martigelisa nuglaanta KVM hypervisor lafteeda, oo aan la xiriirin cayayaanka ku jira qaybaha meelaha isticmaalaha sida QEMU. Dayactirka waxaa lagu aqbalay geedka dhamaadka Maarso.

Finalmente hadaad xiisaynayso inaad waxbadan ka ogaato ku saabsan qoraalka, waad hubin kartaa faahfaahinta Xiriirka soo socda.


Noqo kuwa ugu horreeya ee faallo bixiya

Ka tag faalladaada

cinwaanka email aan la daabacin doonaa. Beeraha loo baahan yahay waxaa lagu calaamadeeyay la *

*

*

  1. Masuul ka ah xogta: Miguel Ángel Gatón
  2. Ujeedada xogta: Xakamaynta SPAM, maaraynta faallooyinka.
  3. Sharci: Oggolaanshahaaga
  4. Isgaarsiinta xogta: Xogta looma gudbin doono dhinacyada saddexaad marka laga reebo waajibaadka sharciga ah.
  5. Kaydinta xogta: Macluumaadka ay martigelisay Shabakadaha Occentus (EU)
  6. Xuquuqda: Waqti kasta oo aad xadidi karto, soo ceshan karto oo tirtiri karto macluumaadkaaga.