A Linux kernel legújabb frissítései két jelentős sebezhetőséget orvosolnak a Xen hipervizorban. A javítások a stabil és korábbi verziókra is visszakerülnek, biztosítva a jobb védekezést a spekulatív támadások és más hibák ellen.

Két jelentős sebezhetőség megoldása

A Linux kernel fejlesztői ma integrálták a Xen hipervizor két biztonsági problémájának javításait:

1. XSA-465: Ez a sebezhetőség lehetővé teszi, hogy egy rosszindulatú hálózati backend összeomlasszon egy vendégrendszert a Linux vendég felfüggesztési/folytatási ciklusa után.
2. XSA-466: Ez a kritikusabb probléma egy Xen hypercall lapot érint, amely sebezhető volt a CPU spekulatív támadásokkal szemben.

Az XSA-466 sebezhetőséghez kapcsolódó CVE-2024-53241 számú hiba részletes leírása szerint a Linux vendég operációs rendszerek nem megfelelően alkalmazták a spekuláció elleni védekezéseket, amikor a Xen hypercall lapot használták.

Miért jelentett problémát a Xen hypercall lap?

A Xen vendégek különböző processzorutasításokat használnak, hogy explicit hívásokat végezzenek a Xen hipervizorba. A hypercall lap célja, hogy egységes utasítássorozatokat biztosítson a vendég operációs rendszerek számára, amelyek e lap segítségével kommunikálnak a hipervizorral. Azonban:

• A hypercall lap "RET" utasításai sebezhetővé tették a rendszert a spekulatív végrehajtás során fellépő támadásokkal szemben.
• Nem támogatta a vezérlésintegritási (Control-Flow Integrity) rendszereket, mint például a kCFI, CET-IBT vagy FineIBT, ami meghibásodáshoz vezethetett.

A megoldás és a javítások hatása

A Xen új hypercall funkciókat vezetett be, amelyek biztonságosabb alternatívát nyújtanak a meglévő hypercall lap helyett. Ezek elkerülik a "csupasz RET" utasítások használatát, így csökkentve a spekulatív támadások kockázatát. Az új javításokat a Linux 6.13 kódjába integrálták, és visszaportálják a stabil LTS verziókra is, hogy széles körű védelmet nyújtsanak.

További részletek a Xen.org oldalon találhatók, ahol részletesen ismertetik a javítások hatását és technikai hátterét.