forum.opennet.ru - "Уязвимость, позволяющая выйти из изолированного окружения QEMU" (33)

"Уязвимость, позволяющая выйти из изолированного окружения QEMU"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость, позволяющая выйти из изолированного окружения QEMU"	+/–
Сообщение от opennews (??), 23-Авг-19, 11:20
Раскрыты (https://blog.bi0s.in/2019/08/20/Pwn/VM-Escape/2019-07-29-qem... детали критической уязвимости (CVE-2019-14378 (https://security-tracker.debian.org/tracker/CVE-2019-14378)) в обработчике SLIRP, по умолчанию применяемом в QEMU для организации канала связи между виртуальным сетевым адаптером в гостевой системе и сетевым бэкендом на стороне QEMU. Проблема также затрагивает системы виртуализации на базе KVM (в режиме Usermode (https://www.linux-kvm.org/page/Networking)) и Virtualbox, в которых используются бэкенд slirp из QEMU, а также приложения, применяющие сетевой стек в пространстве пользователя libSLIRP (https://github.com/rd235/libslirp) (эмулятор TCP/IP). Уязвимость позволяет добиться выполнение кода на стороне хост-системы с правами процесса-обработчика QEMU при отправки со стороны гостевой системы специально оформленного очень большого сетевого пакета, для которого требуется проведение фрагментации. Из-за ошибки в функции ip_reass(), вызываемой при пересборке входящих пакетов, первый фрагмент может не уместится в выделенный буфер и его хвост будет записан в следующие за буфером области памяти. Для тестирования уже доступен (https://github.com/vishnudevtj/exploits/tree/master/qemu/CVE... рабочий прототип эксплоита, в котором в том числе предусмотрен обход ASLR. Уязвимость уже устранена в Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1735654) и SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-14378), но остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-14378), Arch Linux (https://security.archlinux.org/CVE-2019-14378) и FreeBSD (http://www.vuxml.org/freebsd/). В Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2... и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14378) проблема не проявляется из-за неиспользования slirp. Уязвимость остаётся неисправленой в последнем выпуске libslirp 4.0 (https://gitlab.freedesktop.org/slirp/libslirp/-/releases) (исправление пока доступно в виде патча (https://gitlab.freedesktop.org/slirp/libslirp/commit/126c04a.... URL: https://blog.bi0s.in/2019/08/20/Pwn/VM-Escape/2019-07-29-qem.../ Новость: https://www.opennet.me/opennews/art.shtml?num=51343
Ответить \| Правка \| Cообщить модератору

Оглавление

Короче говоря, пора уже привыкнуть к тому, что виртуализация не есть изоляция , Аноним (1), 11:20 , 23-Авг-19, (1) +15

Да Думаю практически у всех за редким исключением вся безопасность построена , mumu (ok), 11:26 , 23-Авг-19, (2)

по этому нужно виртуалку запускать в виртуалке что бы ломателю не скучно было, Аноним (7), 12:11 , 23-Авг-19, (7) +9

Я же говорил, что вместо процов надо ставить FPGA Во-первых, можно будет исправ, Корец (?), 18:39 , 23-Авг-19, (24) –1

И цены на аккумуляторы упадут еще сильнее, их ведь, если во всей мобильной техни, Hewlett Packard (?), 23:12 , 23-Авг-19, (26) –1

SLIRP на серверах с виртуалками не используют - он медленный и не может слушать , Тупой погроммист (?), 12:22 , 23-Авг-19, (8) +6

Где одно там и другое Тут важен сам факт такой возможности и что это не что-то , mumu (ok), 13:18 , 23-Авг-19, (14) –1

один Мы и в 2008м физически разделяли закрытые и открытые сервисы - не просто н, пох. (?), 13:38 , 23-Авг-19, (15)

С SDN и всякой гиперконвергентностью всё стало гораздо запутанней Не буду же я , mumu (ok), 14:32 , 23-Авг-19, (17) –1

ну вот по этой причине - презервативов на свечке должно быть поболее одного при, пох. (?), 14:38 , 23-Авг-19, (18)
Imho, тут так - виртуалки - неплохой способ отделить незлонамеренных бакланов др, mickvav (?), 19:14 , 23-Авг-19, (25)

днем-то он мирный абрикос, а ночью - дикий урюк поломали очередной врот-пресс, пох. (?), 09:19 , 24-Авг-19, (27) +1

Вы на полном серьезе считаете вмтварь виртуализацией Мне страшно за вас , G0Dzilla (ok), 13:12 , 25-Авг-19, (31) –3

так это давно понятно, поэтому связка из libvirt qemu kvm легко и приятно подхва, leap42 (ok), 11:33 , 23-Авг-19, (3)
Вполне себе изоляция с определенным степенем надежности Одна серьезная уязвимос, Аноним (6), 11:45 , 23-Авг-19, (6) +4

Дыры в qemu не отменяют аппаратных дыр Виртуализация не решает никаких проблем б, Аноним (-), 20:17 , 24-Авг-19, (29)

ага, как не пытаются просто закрыть глаза и писать свой г-код без оглядки на без, Leo90 (?), 12:29 , 23-Авг-19, (10) –2

о хоть где-то плюс убунты а то я уже хотел уходить с нее , advisor (ok), 11:40 , 23-Авг-19, (4) –3
А вот называли бы функции менее ругательно -- и ошибки поди не допустили бы , Аноним (5), 11:44 , 23-Авг-19, (5) +3

наоборот - так она прошла бы sjw контроль, и была бы и в убунте тоже, пох. (?), 12:22 , 23-Авг-19, (9) +1

Нет бесплатного сыра Дешево, в адекекватные сроки не 10 лет , безопасно Выбер, Аноним (11), 13:05 , 23-Авг-19, (11)

Бесплатный сыр ЕСТЬ 8212 в нетоварной экономике, например в opensource , Аноним (13), 13:15 , 23-Авг-19, (13) –2

Где все более менее крупные проекты живут за счет вливаний от большого бизнеса, , OpenEcho (?), 16:53 , 23-Авг-19, (22) –1

а некрупные выживают на donate и тааакой рекламе, с которой уже даже гугель боре, пох. (?), 09:23 , 24-Авг-19, (28) –1

Ну вот, как говорят мудрые люди, и на старуху найдется проруха , Аноним (-), 22:00 , 24-Авг-19, (30)

Proxmox уязвим , Аноним (12), 13:13 , 23-Авг-19, (12) +1

Не должен В продакшене slirp не используют, Мертвые_опята (?), 14:16 , 23-Авг-19, (16) +2

code ipfw list 124 head00100 reass ip from any to any in code Удачи проэксп, анонн (ok), 15:02 , 23-Авг-19, (19)

На, жри кактус https www opennet ru opennews art shtml num 39674, Аноним (32), 01:21 , 26-Авг-19, (32) –1

Т е ты не в курсе, чем TCP-фрагментация out-of-order отличается от фрагментац, анонн (ok), 12:23 , 26-Авг-19, (33)

Не могу не вспомнить прекрасное You are absolutely deluded, if not stupid, if y, Дон Ягон (ok), 15:11 , 23-Авг-19, (20) +1
В CentOS 7 эксплойт таки работает процесс qemu падает , Аноним (21), 16:19 , 23-Авг-19, (21)

А калькулятор другое тестовое приложение запускается , Аноним (23), 16:58 , 23-Авг-19, (23)

Сообщения [Сортировка по времени | RSS]

1. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +15 +/–

Сообщение от Аноним (1), 23-Авг-19, 11:20

Короче говоря, пора уже привыкнуть к тому, что виртуализация не есть изоляция.

Ответить | Правка | Наверх | Cообщить модератору

2. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от mumu (ok), 23-Авг-19, 11:26

Да. Думаю практически у всех (за редким исключением) вся безопасность построена на том, что нельзя выйти из контейнера в хостовую систему.
А сейчас уже приходится делать чуть ли не по отдельному датацентру на каждую DMZ. Это капец как накладно и мало кто такое может потянуть.

Ответить | Правка | Наверх | Cообщить модератору

7. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +9 +/–

Сообщение от Аноним (7), 23-Авг-19, 12:11

по этому нужно виртуалку запускать в виртуалке. что бы ломателю не скучно было

Ответить | Правка | Наверх | Cообщить модератору

24. "Уязвимость, позволяющая выйти из изолированного окружения QE..." –1 +/–

Сообщение от Корец (?), 23-Авг-19, 18:39

Я же говорил, что вместо процов надо ставить FPGA! Во-первых, можно будет исправлять любые аппаратные уязвимости, а во-вторых, можно будет реализовать аппаратные контейнеры.

Ответить | Правка | Наверх | Cообщить модератору

26. "Уязвимость, позволяющая выйти из изолированного окружения QE..." –1 +/–

Сообщение от Hewlett Packard (?), 23-Авг-19, 23:12

И цены на аккумуляторы упадут еще сильнее, их ведь, если во всей мобильной технике заменить CPU на FPGA, потребуется в десятки раз больше.

Ответить | Правка | Наверх | Cообщить модератору

8. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +6 +/–

Сообщение от Тупой погроммист (?), 23-Авг-19, 12:22

SLIRP на серверах с виртуалками не используют - он медленный и не может слушать порты (без дополнительной настройки). Он для тех, кому лень настроить бридж (домашние пользователи) или нет возможности настроить систему из под рута (CI). Вообщем, тут мимо.
P.S. Redhat-овский buildah & podman (рекламируемый как "более безопасный docker"), кстати, тоже по-дефолту SLIRP для контейнеров использует.

Ответить | Правка | К родителю #2 | Наверх | Cообщить модератору

14. "Уязвимость, позволяющая выйти из изолированного окружения QE..." –1 +/–

Сообщение от mumu (ok), 23-Авг-19, 13:18

Где одно там и другое. Тут важен сам факт такой возможности и что это не что-то там заоблачное. Уязвимость в vmxnet3 многих заставила пересмотреть всю архитектуру ИБ и наплодить буферных зон там, где их раньше не было.
Когда все топили за виртуализацию году в 2006-м вообще никто предположить не мог (ну или я один такой наивный был), что выход из гостевой VM физически возможен. Это казалось святым граалем в плане изоляции недоверенных сред.

Ответить | Правка | Наверх | Cообщить модератору

15. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от пох. (?), 23-Авг-19, 13:38

один. Мы и в 2008м физически разделяли закрытые и открытые сервисы - не просто не смешивая их на соседних виртуалках, а вообще в разных стойках и на разном сетевом оборудовании (да, никаких "грязных" вланов на том же свитче, на котором крутятся внутренние сервисы)
> Это казалось святым граалем в плане изоляции недоверенных сред.
ну надеюсь теперь-то поняли, что это просто еще один презерватив, надетый на свечку?

Ответить | Правка | Наверх | Cообщить модератору

17. "Уязвимость, позволяющая выйти из изолированного окружения QE..." –1 +/–

Сообщение от mumu (ok), 23-Авг-19, 14:32

С SDN и всякой гиперконвергентностью всё стало гораздо запутанней. Не буду же я отдельный Cisco ACI под разные среды поднимать. Ладно, суёшь в целые отдельные тенанты. А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"...
И зачем нужен vmware NSX, если всё железными коммутами отбивать. Тут приходится идти на компромиссы.

Ответить | Правка | Наверх | Cообщить модератору

18. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от пох. (?), 23-Авг-19, 14:38

> А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"...
ну вот по этой причине - презервативов на свечке должно быть поболее одного.
(причем при большом желании все равно поимеют, так или иначе)

Ответить | Правка | Наверх | Cообщить модератору

25. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от mickvav (?), 23-Авг-19, 19:14

Imho, тут так - виртуалки - неплохой способ отделить незлонамеренных бакланов друг от друга. Не более.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

27. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +1 +/–

Сообщение от пох. (?), 24-Авг-19, 09:19

"днем-то он мирный абрикос, а ночью - дикий урюк!" поломали очередной врот-пресс, и вместо незлонамеренного резвится стая любителей свежих эксплойтов.

Ответить | Правка | Наверх | Cообщить модератору

31. "Уязвимость, позволяющая выйти из изолированного окружения QE..." –3 +/–

Сообщение от G0Dzilla (ok), 25-Авг-19, 13:12

Вы на полном серьезе считаете вмтварь виртуализацией? Мне страшно за вас.

Ответить | Правка | К родителю #17 | Наверх | Cообщить модератору

3. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от leap42 (ok), 23-Авг-19, 11:33

так это давно понятно, поэтому связка из libvirt+qemu+kvm легко и приятно подхватывает SELinux или AppArmor. буквально надо 2 строчки в конфиге поправить для суровой изоляции.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

6. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +4 +/–

Сообщение от Аноним (6), 23-Авг-19, 11:45

Вполне себе изоляция с определенным степенем надежности.
Одна серьезная уязвимость в qemu в раз полгода - лучше, нежели поддержка зоопарка вроде бы изолированных серверов с потенциальными аппаратными уязвимостям, которые пофиксятся только апдейтом железа.

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

29. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от Аноним (-), 24-Авг-19, 20:17

Дыры в qemu не отменяют аппаратных дыр.
Виртуализация не решает никаких проблем безопасности, только создаёт дополнительные.
Другой вопрос, что иногда без виртуализации прикладные проблемы решать неудобно. Поэтому приходится мириться с дополнительными потенциальными проблемами в безопасности.

Ответить | Правка | Наверх | Cообщить модератору

10. "Уязвимость, позволяющая выйти из изолированного окружения QE..." –2 +/–

Сообщение от Leo90 (?), 23-Авг-19, 12:29

ага, как не пытаются просто закрыть глаза и писать свой г-код без оглядки на безопастноить, да и вобще, без оглядки, все никак не получится..

Ответить | Правка | К родителю #1 | Наверх | Cообщить модератору

4. "Уязвимость, позволяющая выйти из изолированного окружения QE..." –3 +/–

Сообщение от advisor (ok), 23-Авг-19, 11:40

о хоть где-то плюс убунты. а то я уже хотел уходить с нее.

Ответить | Правка | Наверх | Cообщить модератору

5. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +3 +/–

Сообщение от Аноним (5), 23-Авг-19, 11:44

> Из-за ошибки в функции ip_reass(),
А вот называли бы функции менее ругательно -- и ошибки поди не допустили бы:)

Ответить | Правка | Наверх | Cообщить модератору

9. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +1 +/–

Сообщение от пох. (?), 23-Авг-19, 12:22

наоборот - так она прошла бы sjw контроль, и была бы и в убунте тоже

Ответить | Правка | Наверх | Cообщить модератору

11. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от Аноним (11), 23-Авг-19, 13:05

Нет бесплатного сыра. Дешево, в адекекватные сроки (не 10 лет), безопасно. Выберете что-то одно.

Ответить | Правка | Наверх | Cообщить модератору

13. "Уязвимость, позволяющая выйти из изолированного окружения QE..." –2 +/–

Сообщение от Аноним (13), 23-Авг-19, 13:15

Бесплатный сыр ЕСТЬ — в нетоварной экономике, например в opensource.

Ответить | Правка | Наверх | Cообщить модератору

22. "Уязвимость, позволяющая выйти из изолированного окружения QE..." –1 +/–

Сообщение от OpenEcho (?), 23-Авг-19, 16:53

>например в opensource
Где все более менее крупные проекты живут за счет вливаний от большого бизнеса, а как известно, - кто девушку поит, то ее и танцует

Ответить | Правка | Наверх | Cообщить модератору

28. "Уязвимость, позволяющая выйти из изолированного окружения QE..." –1 +/–

Сообщение от пох. (?), 24-Авг-19, 09:23

а некрупные выживают на donate и тааакой рекламе, с которой уже даже гугель борется, потому что она позорит его бизнес.
А о "нетоварной экономике" рассказывают только те, кто бесплатный сыр потом жрет с лопаты, не слишком брезгуя.

Ответить | Правка | Наверх | Cообщить модератору

30. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от Аноним (-), 24-Авг-19, 22:00

> потому что она позорит его бизнес.
Ну вот, как говорят мудрые люди, и на старуху найдется проруха.

Ответить | Правка | Наверх | Cообщить модератору

12. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +1 +/–

Сообщение от Аноним (12), 23-Авг-19, 13:13

Proxmox уязвим?

Ответить | Правка | Наверх | Cообщить модератору

16. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +2 +/–

Сообщение от Мертвые_опята (?), 23-Авг-19, 14:16

Не должен. В продакшене slirp не используют

Ответить | Правка | Наверх | Cообщить модератору

19. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от анонн (ok), 23-Авг-19, 15:02

> но остаётся неисправленной в Debian, Arch Linux и FreeBSD

# ipfw list|head
00100 reass ip from any to any in

Удачи проэксплуатировать.

Ответить | Правка | Наверх | Cообщить модератору

32. "Уязвимость, позволяющая выйти из изолированного окружения QE..." –1 +/–

Сообщение от Аноним (32), 26-Авг-19, 01:21

На, жри кактус: https://www.opennet.me/opennews/art.shtml?num=39674

Ответить | Правка | Наверх | Cообщить модератору

33. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от анонн (ok), 26-Авг-19, 12:23

> На, жри кактус: https://www.opennet.me/opennews/art.shtml?num=39674
Т.е. ты не в курсе, чем TCP-фрагментация "out-of-order" отличается от фрагментации "больших" IP-пакетов или к чему эта ссылка (которую ты похоже даже и не читал толком)?
> It is possible to defend to these attacks by doing traffic normalization
> using a firewall. This can be done by including the following /etc/pf.conf
> configuration:
> scrub in all
Кстати, уязвимости только этого года у "некактосов":
https://www.cvedetails.com/cve/CVE-2019-11683/
https://www.cvedetails.com/cve/CVE-2019-11479/
https://www.cvedetails.com/cve/CVE-2019-11815/
но ты продолжай, продолжай.

Ответить | Правка | Наверх | Cообщить модератору

20. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +1 +/–

Сообщение от Дон Ягон (ok), 23-Авг-19, 15:11

Не могу не вспомнить прекрасное:
"You are absolutely deluded, if not stupid, if you think that a
worldwide collection of software engineers who can't write operating
systems or applications without security holes, can then turn around
and suddenly write virtualization layers without security holes."
(https://marc.info/?l=openbsd-misc&m=119318909016582)

Ответить | Правка | Наверх | Cообщить модератору

21. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от Аноним (21), 23-Авг-19, 16:19

В CentOS 7 эксплойт таки работает: процесс qemu падает.

Ответить | Правка | Наверх | Cообщить модератору

23. "Уязвимость, позволяющая выйти из изолированного окружения QE..." +/–

Сообщение от Аноним (23), 23-Авг-19, 16:58

А калькулятор/другое тестовое приложение запускается?

Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+15 +/–
Сообщение от Аноним (1), 23-Авг-19, 11:20
Короче говоря, пора уже привыкнуть к тому, что виртуализация не есть изоляция.
Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+/–
	Сообщение от mumu (ok), 23-Авг-19, 11:26
	Да. Думаю практически у всех (за редким исключением) вся безопасность построена на том, что нельзя выйти из контейнера в хостовую систему. А сейчас уже приходится делать чуть ли не по отдельному датацентру на каждую DMZ. Это капец как накладно и мало кто такое может потянуть.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+9 +/–
	Сообщение от Аноним (7), 23-Авг-19, 12:11
	по этому нужно виртуалку запускать в виртуалке. что бы ломателю не скучно было
	Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	–1 +/–
	Сообщение от Корец (?), 23-Авг-19, 18:39
	Я же говорил, что вместо процов надо ставить FPGA! Во-первых, можно будет исправлять любые аппаратные уязвимости, а во-вторых, можно будет реализовать аппаратные контейнеры.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	–1 +/–
	Сообщение от Hewlett Packard (?), 23-Авг-19, 23:12
	И цены на аккумуляторы упадут еще сильнее, их ведь, если во всей мобильной технике заменить CPU на FPGA, потребуется в десятки раз больше.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+6 +/–
	Сообщение от Тупой погроммист (?), 23-Авг-19, 12:22
	SLIRP на серверах с виртуалками не используют - он медленный и не может слушать порты (без дополнительной настройки). Он для тех, кому лень настроить бридж (домашние пользователи) или нет возможности настроить систему из под рута (CI). Вообщем, тут мимо. P.S. Redhat-овский buildah & podman (рекламируемый как "более безопасный docker"), кстати, тоже по-дефолту SLIRP для контейнеров использует.
	Ответить \| Правка \| К родителю #2 \| Наверх \| Cообщить модератору


	14. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	–1 +/–
	Сообщение от mumu (ok), 23-Авг-19, 13:18
	Где одно там и другое. Тут важен сам факт такой возможности и что это не что-то там заоблачное. Уязвимость в vmxnet3 многих заставила пересмотреть всю архитектуру ИБ и наплодить буферных зон там, где их раньше не было. Когда все топили за виртуализацию году в 2006-м вообще никто предположить не мог (ну или я один такой наивный был), что выход из гостевой VM физически возможен. Это казалось святым граалем в плане изоляции недоверенных сред.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+/–
	Сообщение от пох. (?), 23-Авг-19, 13:38
	один. Мы и в 2008м физически разделяли закрытые и открытые сервисы - не просто не смешивая их на соседних виртуалках, а вообще в разных стойках и на разном сетевом оборудовании (да, никаких "грязных" вланов на том же свитче, на котором крутятся внутренние сервисы) > Это казалось святым граалем в плане изоляции недоверенных сред. ну надеюсь теперь-то поняли, что это просто еще один презерватив, надетый на свечку?
	Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	–1 +/–
	Сообщение от mumu (ok), 23-Авг-19, 14:32
	С SDN и всякой гиперконвергентностью всё стало гораздо запутанней. Не буду же я отдельный Cisco ACI под разные среды поднимать. Ладно, суёшь в целые отдельные тенанты. А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"... И зачем нужен vmware NSX, если всё железными коммутами отбивать. Тут приходится идти на компромиссы.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+/–
	Сообщение от пох. (?), 23-Авг-19, 14:38
	> А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"... ну вот по этой причине - презервативов на свечке должно быть поболее одного. (причем при большом желании все равно поимеют, так или иначе)
	Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+/–
	Сообщение от mickvav (?), 23-Авг-19, 19:14
	Imho, тут так - виртуалки - неплохой способ отделить незлонамеренных бакланов друг от друга. Не более.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	27. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+1 +/–
	Сообщение от пох. (?), 24-Авг-19, 09:19
	"днем-то он мирный абрикос, а ночью - дикий урюк!" поломали очередной врот-пресс, и вместо незлонамеренного резвится стая любителей свежих эксплойтов.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	–3 +/–
	Сообщение от G0Dzilla (ok), 25-Авг-19, 13:12
	Вы на полном серьезе считаете вмтварь виртуализацией? Мне страшно за вас.
	Ответить \| Правка \| К родителю #17 \| Наверх \| Cообщить модератору


	3. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+/–
	Сообщение от leap42 (ok), 23-Авг-19, 11:33
	так это давно понятно, поэтому связка из libvirt+qemu+kvm легко и приятно подхватывает SELinux или AppArmor. буквально надо 2 строчки в конфиге поправить для суровой изоляции.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	6. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+4 +/–
	Сообщение от Аноним (6), 23-Авг-19, 11:45
	Вполне себе изоляция с определенным степенем надежности. Одна серьезная уязвимость в qemu в раз полгода - лучше, нежели поддержка зоопарка вроде бы изолированных серверов с потенциальными аппаратными уязвимостям, которые пофиксятся только апдейтом железа.
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору


	29. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+/–
	Сообщение от Аноним (-), 24-Авг-19, 20:17
	Дыры в qemu не отменяют аппаратных дыр. Виртуализация не решает никаких проблем безопасности, только создаёт дополнительные. Другой вопрос, что иногда без виртуализации прикладные проблемы решать неудобно. Поэтому приходится мириться с дополнительными потенциальными проблемами в безопасности.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	–2 +/–
	Сообщение от Leo90 (?), 23-Авг-19, 12:29
	ага, как не пытаются просто закрыть глаза и писать свой г-код без оглядки на безопастноить, да и вобще, без оглядки, все никак не получится..
	Ответить \| Правка \| К родителю #1 \| Наверх \| Cообщить модератору

4. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	–3 +/–
Сообщение от advisor (ok), 23-Авг-19, 11:40
о хоть где-то плюс убунты. а то я уже хотел уходить с нее.
Ответить \| Правка \| Наверх \| Cообщить модератору

5. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+3 +/–
Сообщение от Аноним (5), 23-Авг-19, 11:44
> Из-за ошибки в функции ip_reass(), А вот называли бы функции менее ругательно -- и ошибки поди не допустили бы:)
Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+1 +/–
	Сообщение от пох. (?), 23-Авг-19, 12:22
	наоборот - так она прошла бы sjw контроль, и была бы и в убунте тоже
	Ответить \| Правка \| Наверх \| Cообщить модератору

11. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+/–
Сообщение от Аноним (11), 23-Авг-19, 13:05
Нет бесплатного сыра. Дешево, в адекекватные сроки (не 10 лет), безопасно. Выберете что-то одно.
Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	–2 +/–
	Сообщение от Аноним (13), 23-Авг-19, 13:15
	Бесплатный сыр ЕСТЬ — в нетоварной экономике, например в opensource.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	–1 +/–
	Сообщение от OpenEcho (?), 23-Авг-19, 16:53
	>например в opensource Где все более менее крупные проекты живут за счет вливаний от большого бизнеса, а как известно, - кто девушку поит, то ее и танцует
	Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	–1 +/–
	Сообщение от пох. (?), 24-Авг-19, 09:23
	а некрупные выживают на donate и тааакой рекламе, с которой уже даже гугель борется, потому что она позорит его бизнес. А о "нетоварной экономике" рассказывают только те, кто бесплатный сыр потом жрет с лопаты, не слишком брезгуя.
	Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+/–
	Сообщение от Аноним (-), 24-Авг-19, 22:00
	> потому что она позорит его бизнес. Ну вот, как говорят мудрые люди, и на старуху найдется проруха.
	Ответить \| Правка \| Наверх \| Cообщить модератору

12. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+1 +/–
Сообщение от Аноним (12), 23-Авг-19, 13:13
Proxmox уязвим?
Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+2 +/–
	Сообщение от Мертвые_опята (?), 23-Авг-19, 14:16
	Не должен. В продакшене slirp не используют
	Ответить \| Правка \| Наверх \| Cообщить модератору

19. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+/–
Сообщение от анонн (ok), 23-Авг-19, 15:02
> но остаётся неисправленной в Debian, Arch Linux и FreeBSD # ipfw list\|head 00100 reass ip from any to any in Удачи проэксплуатировать.
Ответить \| Правка \| Наверх \| Cообщить модератору


	32. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	–1 +/–
	Сообщение от Аноним (32), 26-Авг-19, 01:21
	На, жри кактус: https://www.opennet.me/opennews/art.shtml?num=39674
	Ответить \| Правка \| Наверх \| Cообщить модератору


	33. "Уязвимость, позволяющая выйти из изолированного окружения QE..."	+/–
	Сообщение от анонн (ok), 26-Авг-19, 12:23
	> На, жри кактус: https://www.opennet.me/opennews/art.shtml?num=39674 Т.е. ты не в курсе, чем TCP-фрагментация "out-of-order" отличается от фрагментации "больших" IP-пакетов или к чему эта ссылка (которую ты похоже даже и не читал толком)? > It is possible to defend to these attacks by doing traffic normalization > using a firewall. This can be done by including the following /etc/pf.conf > configuration: > scrub in all Кстати, уязвимости только этого года у "некактосов": https://www.cvedetails.com/cve/CVE-2019-11683/ https://www.cvedetails.com/cve/CVE-2019-11479/ https://www.cvedetails.com/cve/CVE-2019-11815/ но ты продолжай, продолжай.
	Ответить \| Правка \| Наверх \| Cообщить модератору