xuke123 发表于 2017-12-5 09:46:08

OpenStack修复影响宿主机的QEMU漏洞CVE-2017-2615

  距离这个虚拟化层面的漏洞公告发出已有两个多月了,漏洞详情可以查看:
  360安全应急响应中心-360发现QEMU严重漏洞 影响国内大部分公有云
  简单来说是通过Cirrus VGA操作读取宿主机内存中的内容,对宿主机造成风险。
  除了对qemu打Patch的修复方法外,直接使用其他模拟替换Cirrus也是可以解决这个问题的。



事实上,cirrus vga是90年代早期的设备,存在各种bug和安全问题。详细可以参考qemu vga的维护者Gerd Hoffmann的这篇文章qemu:using cirrus considered harmful(https://www.kraxel.org/blog/2014/10/qemu-using-cirrus-considered-harmful/)。在qemu的upstream中,已经准备放弃cirrus显卡模拟。

  调研了几家公有云和有项目交集的私有云厂商,仍有大部分没有解决这个问题,私有云尤为严重。
  不过,已经开启的云主机/虚拟机 想要更换VGA设备比较复杂,有停机同时意味着停服务的风险,所以大量运行中的实例仍保留有Cirrus:
https://pic4.zhimg.com/v2-e9f7f520a12d538d39731bc13424f59b_b.png↑ 国内top3的公有云
  基于OpenStack的私有云厂商可以参考以下两种方式较简单的修复:
  1. 指定镜像属性修复
https://pic4.zhimg.com/v2-d93e9445cd81721e4a00bbc8527f729f_b.png只需要在image-upload时或直接image-update 指定这个porperty即可



glance image-upload --property hw_video_model=vga ……



glance image-update --property hw_video_model=vga

  2. 修改nova代码修复
  在 libvirt driver 代码中
https://pic4.zhimg.com/v2-5611a9039f5512b1f3554a7a79c1240f_b.png
  支持的图形设备有 vga, cirrus, vmvga, xen, qxl
  判断逻辑最后,如果没有对镜像显示指定 hw_video_model,则会使用 vedio.type
  我们再看看这个video.type
https://pic2.zhimg.com/v2-4bc41aa908b2a4afcf7718f59a3fa8f1_b.png确实为cirrus , 所以我们对此处修改即可:



nova/virt/libvirt/config.py
...
self.type = 'cirrus'
改为
self.type = 'vga'
...

  最新的Ocata版本可以适用。
  一句话patch :



sed -i "s/self\.type = 'cirrus'/self\.type = 'vga'/g" /usr/lib/python2.7/site-packages/nova/virt/libvirt/config.py




[*]由于 OpenStack 快照也是image形式,第一种方法在 创建云主机快照 -- 通过快照创建云主机 时,也需指定快照文件的 hw_video_model
[*]第二种方法没有上述要求,但在nova代码更新时需要重新修复
[*]


页: [1]
查看完整版本: OpenStack修复影响宿主机的QEMU漏洞CVE-2017-2615