meltdown

0

3

Здравствуйте. Как мы знаем «позволяет получить доступ к чужой памяти в системах паравиртуализации (режим полной виртуализации (HVM) проблеме не подвержен) и контейнерной изоляции (в том числе Docker, LXC, OpenVZ), например, пользователь одной виртуальной машины может получить содержимое памяти хост-системы и других виртуальных машин». При этом где-то упоминается, что KVM тоже подвержен этой уязвимости. Кто прав?

И если таки KVM системы тоже подвержены, то как быть с обновлениями? Нужно обновлять хост систему и быть спокойным или хост системы и все kvm-машины? На этот вопрос я тоже вопроса не нашел, увы

Ссылка

←	1 ip, 2 сервера

Monitorix или

→

Дядька пишет, что с KVM все ок. https://www.linuxglobal.com/meltdown-bug-affected-virtualization-technologies/

vwvol
(21.01.18 15:34:59 MSK)

Ответ на: комментарий от vwvol 21.01.18 15:34:59 MSK

Хорошие новости, а если брать примеры контейнеров, то в качестве защиты достаточно обновления хост-системы?

USF ★
(21.01.18 15:41:28 MSK) автор топика

Ответ на: комментарий от USF 21.01.18 15:41:28 MSK

Скорее всего. https://security-tracker.debian.org/tracker/CVE-2017-5754

vwvol
(21.01.18 15:47:25 MSK)

Ссылка

Ответ на: комментарий от USF 21.01.18 15:41:28 MSK

хост системы и все km-машины

Именно так. Ибо внутри kvm уязвимость остается, она не затронет хост, но в пределах самой виртуалки работает.

а если брать примеры контейнеров, то в качестве защиты достаточно обновления хост-системы?

Контейнер работает на ядре хоста, так что достаточно.

anc ★★★★★
(22.01.18 00:35:17 MSK)

Ссылка

Ответ на: комментарий от vwvol 21.01.18 15:34:59 MSK

Наискосок читали? «Дядька пишет»:

However, an unprivileged guest process can still access privileged (and other unprivileged) guest process memory pages

anc ★★★★★
(22.01.18 00:39:14 MSK)
Последнее исправление: anc 22.01.18 00:39:25 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 22.01.18 00:39:14 MSK

Вроде бы не наискосок.

Fully virtualized technologies are not affected in the sense that guests cannot access host (hypervisor) memory. However, an unprivileged guest process can still access privileged (and other unprivileged) guest process memory pages. Container-based technologies are affected by Meltdown across container boundaries.

Я, конечно, многого не знаю, но разве unprivileged/privileged guest process упоминаются не в контексте сontainer-based technologies? Объясните пожалуйста.

vwvol
(22.01.18 10:40:40 MSK)

Ответ на: комментарий от vwvol 22.01.18 10:40:40 MSK

Перечитайте еще раз

guests cannot access host (hypervisor) memory.

Что логично. Далее.

However, an unprivileged guest process can still access privileged (and other unprivileged) guest process memory pages.

Т.е. гость внутри себя уязвим, что так же логично.

А дальше уже про контейнеры

Container-based technologies are affected by Meltdown across container boundaries.

anc ★★★★★
(22.01.18 10:53:24 MSK)

Ответ на: комментарий от anc 22.01.18 10:53:24 MSK

Перечитал, идет ли это вразрез с моим «Дядька пишет, что с KVM все ок»?

Т.е. гость внутри себя уязвим, что так же логично.

Вы всерьез думаете, что для кого-то этот момент неочевиден? Автор спросил о KVM, ему ответили про KVM.

vwvol
(22.01.18 11:01:08 MSK)

Ответ на: комментарий от vwvol 22.01.18 11:01:08 MSK

Перечитал, идет ли это вразрез с моим «Дядька пишет, что с KVM все ок»?

Только в рамках ответа на вопрос ТС.

Вы всерьез думаете, что для кого-то этот момент неочевиден?

Судя по вопросу ТС

Нужно обновлять хост систему и быть спокойным или хост системы и все kvm-машины?

Не для всех очевиден.

anc ★★★★★
(22.01.18 11:18:43 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	1 ip, 2 сервера

Admin

Monitorix или

→

Похожие темы