Bu, Ubuntu Online, Fedora Online, Windows çevrimiçi emülatörü veya MAC OS çevrimiçi emülatörü gibi birden fazla ücretsiz çevrimiçi iş istasyonumuzdan birini kullanarak OnWorks ücretsiz barındırma sağlayıcısında çalıştırılabilen guestfs-security komutudur.
Program:
ADI
guestfs-security - libguestfs'in güvenliği
TANIM
Bu kılavuz sayfası, libguestfs kullanımının güvenlikle ilgili sonuçlarını, özellikle
güvenilmeyen veya kötü niyetli misafirler veya disk görüntüleri.
OF MONTAJ DOSYA SİSTEMLERİ
Güvenilmeyen bir konuk dosya sistemini asla doğrudan ana bilgisayar çekirdeğinize bağlamamalısınız (örn.
geridöngü veya kpartx kullanarak).
Bir dosya sistemini bağladığınızda, çekirdek dosya sistemindeki (VFS) hatalar aşağıdakilere yükseltilebilir:
Saldırganlar tarafından kötü niyetli bir dosya sistemi oluşturan istismarlar. Bu istismarlar için çok şiddetli
iki sebep. İlk olarak, çekirdekte çok sayıda dosya sistemi sürücüsü vardır ve bunların birçoğu
nadiren kullanılırlar ve koda çok fazla geliştirici dikkati gösterilmemiştir.
Linux kullanıcı alanı, dosya sistemi türünü algılayarak potansiyel korsanlara yardımcı olur ve
Bu dosya sistemi türü beklenmedik olsa bile, doğru VFS sürücüsünü otomatik olarak seçer.
İkincisi, çekirdek düzeyinde bir istismar, yerel bir kök istismarı gibidir (bazı yönlerden daha kötü),
donanım düzeyine kadar sisteme anında ve tam erişim.
Bu istismarlar, çekirdekte çok uzun süre mevcut olabilir.
(https://lwn.net/Articles/538898/).
Libguestfs, sizi istismarlardan korumak için katmanlı bir yaklaşım sunar:
güvenilmeyen dosya sistemi
--------------------------------------
cihaz çekirdeği
--------------------------------------
qemu işlemi root dışı olarak çalışıyor
--------------------------------------
sVirt [libvirt + SELinux kullanılıyorsa]
--------------------------------------
ana çekirdek
Genellikle root olmayan bir kullanıcı olarak çalışan bir qemu sanal makinesinin içinde bir Linux çekirdeği çalıştırıyoruz.
Saldırganın, önce çekirdeği kullanan bir dosya sistemi yazması ve ardından
qemu sanallaştırmasından (örn. hatalı bir qemu sürücüsü) veya libguestfs'den yararlanıldı
protokolü ve nihayet ana bilgisayar çekirdeği istismarı kadar ciddi olmak için ihtiyaç duyacağı
ayrıcalıklarını köke yükseltin. Ek olarak, libvirt arka ucunu kullanırsanız ve
SELinux, sVirt, qemu sürecini sınırlamak için kullanılır. Bu çok adımlı yükseltme, gerçekleştirilen
statik bir veri parçası tarafından, asla söylemememize rağmen, yapmanın son derece zor olduğu düşünülmektedir.
güvenlik sorunları hakkında 'asla'.
Arayanlar, montaj sırasında dosya sistemi türünü zorlayarak saldırı yüzeyini de azaltabilir.
("guestfs_mount_vfs" kullanın).
GENEL İLGİLİ HUSUSLAR
Bir misafirden indirdiğiniz dosyalara veya verilere dikkat edin ("indirmek" derken şunu kastediyoruz:
sadece "guestfs_download" komutu değil, dosyaları, dosya adlarını okuyan herhangi bir komut,
dizinler veya bir disk görüntüsünden başka bir şey). Saldırgan verileri manipüle edebilir.
yanlış şeyi yapması için programınızı kandırın. Aşağıdaki gibi durumları göz önünde bulundurun:
· veri (dosya vb) mevcut değil
· mevcut ama boş
· normalden çok daha büyük olmak
· keyfi 8 bit veri içeren
· beklenmedik bir karakter kodlamasında olmak
· homoglifler içeren.
PROTOKOL
Protokol, güvenli olacak şekilde tasarlanmıştır, tanımlanmış bir üst kısım ile RFC 4506'ya (XDR) dayalıdır.
mesaj boyutu. Ancak libguestfs kullanan bir program da dikkatli olmalıdır - örneğin
bir disk görüntüsünden ikili dosya indiren ve yerel olarak yürüten bir program yazabilirsiniz,
ve hiçbir protokol güvenliği sizi sonuçlardan kurtaramaz.
DENETİM
Denetim API'sinin bazı bölümleri (bkz. "İNCELEME") güvenilmeyen dizeleri doğrudan
misafir ve bunlar herhangi bir 8 bit veri içerebilir. Arayanlar bunlardan kaçmak için dikkatli olmalıdır
bunları yapılandırılmış bir dosyaya yazdırmadan önce (örneğin, bir
web sayfası).
Konuk yapılandırması, sanal sunucunun yöneticisi tarafından alışılmadık şekillerde değiştirilebilir.
ve gerçeği yansıtmayabilir (özellikle güvenilmeyen veya aktif olarak kötü niyetli olanlar için)
Misafirler). Örneğin, ana bilgisayar adını aşağıdaki gibi yapılandırma dosyalarından ayrıştırırız:
/etc/sysconfig/ağ konukta bulduğumuz, ancak konuk yöneticisi kolayca
yanlış ana bilgisayar adını sağlamak için bu dosyaları değiştirin.
Denetim API'si, iki harici kitaplık kullanarak konuk yapılandırmasını ayrıştırır: Augeas (Linux
yapılandırma) ve hivex (Windows Kayıt Defteri). Her ikisi de yüze sağlam olacak şekilde tasarlanmıştır
hizmet reddi saldırıları hala mümkün olsa da, örneğin
büyük boyutlu yapılandırma dosyaları.
KOŞU GÜVENİLİR MİSAFİR KOMUTLAR
Konuktan komut çalıştırma konusunda çok dikkatli olun. içinde bir komut çalıştırarak
misafir, aynı kullanıcı altında kontrol etmediğiniz bir ikili dosyaya CPU zamanı veriyorsunuz
qemu sanallaştırmaya sarılmış olsa da, kütüphane olarak hesap. Daha fazla bilgi ve
alternatifler "ÇALIŞMA KOMUTLARI" bölümünde bulunabilir.
CVE-2010-3851
https://bugzilla.redhat.com/642934
Bu güvenlik hatası, qemu'nun diskte yaptığı otomatik disk biçimi algılamasıyla ilgilidir.
görüntüler.
Ham disk görüntüsü yalnızca ham bayttır, başlık yoktur. qcow2 gibi diğer disk görüntüleri
özel bir başlık içerir. Qemu bununla bilinen başlıklardan birini arayarak ilgilenir,
ve hiçbiri bulunamazsa, disk görüntüsünün ham olması gerektiği varsayılır.
Bu, ham disk görüntüsü verilen bir konuğa başka bir başlık yazmasına izin verir. NS
sonraki önyükleme (veya disk görüntüsüne libguestfs tarafından erişildiğinde) qemu otomatik algılama yapar
ve disk görüntü formatının, misafir tarafından yazılan başlığa dayalı olarak qcow2 olduğunu düşünün.
Bu başlı başına bir sorun olmaz, ancak qcow2 birçok özellik sunar, bunlardan biri
bir disk görüntüsünün başka bir görüntüye ("destek diski" olarak adlandırılır) başvurmasına izin verin. Bunu şu şekilde yapar
yedekleme diskine giden yolu qcow2 başlığına yerleştirme. Bu yol doğrulanmadı
ve herhangi bir ana bilgisayar dosyasına işaret edebilir (örn. "/ Etc / passwd"). Ardından, yedekleme diski açığa çıkar.
tabii ki tamamen kontrol altında olan qcow2 disk görüntüsündeki "delikler" aracılığıyla
saldırganın.
libguestfs'de, iki koşul dışında bundan yararlanmak oldukça zordur:
1. Ağı etkinleştirdiniz veya diski yazma modunda açtınız.
2. Konuk tarafından da güvenilmeyen kod çalıştırıyorsunuz (bkz. "ÇALIŞAN KOMUTLAR").
Bundan kaçınmanın yolu, disk eklerken beklenen disk biçimini belirtmektir (
"guestfs_add_drive_opts" için isteğe bağlı "biçim" seçeneği). Bunu her zaman yapmalısın, eğer
disk ham biçimdir ve diğer durumlar için de iyi bir fikirdir. (Ayrıca bkz. "DİSK GÖRÜNTÜSÜ
FORMATLAR").
"guestfs_add_domain" gibi çağrılar kullanılarak libvirt'ten eklenen diskler için biçim alınır
libvirt'ten ve geçti.
libguestfs araçları için şunu kullanın: --biçim uygun şekilde komut satırı parametresi.
CVE-2011-4127
https://bugzilla.redhat.com/752375
Bu, konukların ana bilgisayarın sürücülerinin bölümlerinin üzerine yazmasına izin veren çekirdekteki bir hatadır.
normalde erişmemeleri gereken.
libguestfs'i herhangi bir değişiklik içeren ≥ 1.16 sürümüne güncellemek yeterlidir.
sorunu hafifletir.
CVE-2012-2690
https://bugzilla.redhat.com/831117
Hem virt-edit hem de guestfish "edit" komutunun eski sürümleri yeni bir dosya oluşturdu
değişiklikleri içeren ancak yeni dosyanın izinlerini vb.
eski olan. Bunun sonucu, aşağıdaki gibi güvenlik açısından hassas bir dosyayı düzenlediyseniz,
/ etc / shadow o zaman düzenlemeden sonra dünya çapında okunabilir hale gelirdi.
libguestfs'i herhangi bir ≥ 1.16 sürümüne güncellemek yeterlidir.
CVE-2013-2124
https://bugzilla.redhat.com/968306
Bu güvenlik hatası, güvenilmeyen bir misafirin özel olarak kullandığı bir inceleme hatasıydı.
Konuk işletim sisteminde hazırlanmış dosya, C kitaplığında çift serbestliğe neden olabilir (reddetme
hizmet).
libguestfs'i savunmasız olmayan bir sürüme güncellemek yeterlidir: libguestfs ≥
1.20.8, ≥ 1.22.2 veya ≥ 1.23.2.
CVE-2013-4419
https://bugzilla.redhat.com/1016960
Kullanıldığı zaman konuk balığı(1) --uzak veya misafir balığı --dinlemek seçenekler, konuk balıkları yaratacaktır
bilinen bir konumdaki bir soket (/tmp/.guestfish-$UID/socket-$PID).
Her iki ucun da iletişim kurabilmesi için konumun bilinen bir konum olması gerekir. Ancak hayır
içeren dizinin (/tmp/.guestfish-$UID) sahip olduğu
kullanıcı. Böylece başka bir kullanıcı bu dizini oluşturabilir ve sahip olunan soketleri potansiyel olarak ele geçirebilir.
başka bir kullanıcının misafir balığı istemcisi veya sunucusu tarafından.
libguestfs'i savunmasız olmayan bir sürüme güncellemek yeterlidir: libguestfs ≥
1.20.12, ≥ 1.22.7 veya ≥ 1.24.
inkâr of hizmet ne zaman teftiş disk görüntüleri ile yozlaşmış btrfs hacimleri
libguestfs'i (ve libguestfs'i kitaplık olarak kullanan programları) şu şekilde çökertmek mümkündü:
bozuk bir btrfs birimi içeren bir disk görüntüsü sunma.
Bu, hizmet reddine neden olan bir NULL işaretçi başvurusundan kaynaklanmıştır ve
daha fazla sömürülebileceği düşünülüyor.
Düzeltme için d70ceb4cbea165c960710576efac5a5716055486 taahhütnamesine bakın. Bu düzeltme dahil edilmiştir
libguestfs kararlı dalları ≥ 1.26.0, ≥ 1.24.6 ve ≥ 1.22.8 ve ayrıca RHEL ≥ 7.0'da.
libguestfs'in önceki sürümleri savunmasız değildir.
CVE-2014-0191
Libguestfs, daha önce libvirt XML'i ayrıştırmak için güvenli olmayan libxml2 API'lerini kullanıyordu. Bu API'ler
belirli XML belgeleri oluşturulduğunda ağ bağlantılarının yapılmasına izin vermek için varsayılan olarak ayarlanmıştır.
sunuldu. Hatalı biçimlendirilmiş bir XML belgesi kullanarak tüm CPU'yu, belleği tüketmek de mümkündü.
veya makinedeki dosya tanımlayıcıları.
libvirt XML güvenilir bir kaynaktan (libvirt arka plan programı) geldiği için
bunun istismar edilebilir olabileceğini söyledi.
Bu, libguestfs ≥ 1.27.9'da düzeltildi ve düzeltme, kararlı sürümlere ≥ geri aktarıldı
1.26.2, ≥ 1.24.9, ≥ 1.22.10 ve ≥ 1.20.13.
Shellshock (vurmak CVE-2014-6271)
Bu bash hatası dolaylı olarak libguestfs'i etkiler. Daha fazla bilgi için bakınız:
https://www.redhat.com/archives/libguestfs/2014-September/msg00252.html
CVE-2014-8484
CVE-2014-8485
Binutillerdeki bu iki hata GNU'yu etkiler dizeleri(1) programı ve dolayısıyla
libguestfs'de "guestfs_strings" ve "guestfs_strings_e" API'leri. Dizeleri bir üzerinde çalıştırmak
güvenilmeyen dosya rastgele kod yürütülmesine neden olabilir (libguestfs ile sınırlıdır
cihaz).
libguestfs ≥ 1.29.5 ve ≥ 1.28.3'te libguestfs "dizeleri" kullanır -a BFD'den kaçınma seçeneği
dosya üzerinde ayrıştırma.
CVE-2015-5745
https://bugzilla.redhat.com/show_bug.cgi?id=1251157
Bu, libguestfs'deki bir güvenlik açığı değil, her zaman bir virtio-seri bağlantı noktası verdiğimiz için
her misafire (misafir-ev sahibi iletişimi bu şekilde gerçekleştiğinden),
ana bilgisayar qemu işlemine cihaz mümkündür. Bu, aşağıdaki durumlarda sizi etkileyebilir:
· libguestfs programınız güvenilmeyen programları misafirin dışında çalıştırır ("guestfs_sh" kullanarak)
vb) veya
· (örneğin) çekirdek dosya sistemi kodunda başka bir istismar bulundu.
cihazı devralmak için hatalı biçimlendirilmiş dosya sistemi.
qemu'yu sınırlamak için sVirt kullanırsanız, bu bazı saldırıları engeller.
İzinler of .ssh ve .ssh/yetkili_anahtarlar
https://bugzilla.redhat.com/1260778
Aletler sanal-özelleştirmek(1) sanal-sysprep(1) ve usta(1) var --ssh-enjekte
sanal makine disk görüntülerine bir SSH anahtarı enjekte etme seçeneği. bir oluşturabilirler
~kullanıcı/.ssh dizin ve ~user/.ssh/yetkili_anahtarlar Bunu yapmak için konuktaki dosya.
libguestfs < 1.31.5 ve libguestfs < 1.30.2'de, yeni dizin ve dosya mod alır
sırasıyla 0755 ve mod 0644. Ancak bu izinler (özellikle ~kullanıcı/.ssh)
OpenSSH'nin kullandığı izinlerden daha geniştir. Geçerli libguestfs'de, dizin
ve dosya, mod 0700 ve mod 0600 ile oluşturulur.
onworks.net hizmetlerini kullanarak guestfs-security'yi çevrimiçi kullanın
