forum.opennet.ru - "Уязвимость, позволяющая выйти из изолированного окружения QEMU" (33)

"Уязвимость, позволяющая выйти из изолированного окружения QEMU"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Уязвимость, позволяющая выйти из изолированного окружения QEMU"	+/–
Сообщение от opennews (??), 23-Авг-19, 11:20
Раскрыты (https://blog.bi0s.in/2019/08/20/Pwn/VM-Escape/2019-07-29-qem... детали критической уязвимости (CVE-2019-14378 (https://security-tracker.debian.org/tracker/CVE-2019-14378)) в обработчике SLIRP, по умолчанию применяемом в QEMU для организации канала связи между виртуальным сетевым адаптером в гостевой системе и сетевым бэкендом на стороне QEMU. Проблема также затрагивает системы виртуализации на базе KVM (в режиме Usermode (https://www.linux-kvm.org/page/Networking)) и Virtualbox, в которых используются бэкенд slirp из QEMU, а также приложения, применяющие сетевой стек в пространстве пользователя libSLIRP (https://github.com/rd235/libslirp) (эмулятор TCP/IP). Уязвимость позволяет добиться выполнение кода на стороне хост-системы с правами процесса-обработчика QEMU при отправки со стороны гостевой системы специально оформленного очень большого сетевого пакета, для которого требуется проведение фрагментации. Из-за ошибки в функции ip_reass(), вызываемой при пересборке входящих пакетов, первый фрагмент может не уместится в выделенный буфер и его хвост будет записан в следующие за буфером области памяти. Для тестирования уже доступен (https://github.com/vishnudevtj/exploits/tree/master/qemu/CVE... рабочий прототип эксплоита, в котором в том числе предусмотрен обход ASLR. Уязвимость уже устранена в Fedora (https://bugzilla.redhat.com/show_bug.cgi?id=1735654) и SUSE/openSUSE (https://bugzilla.novell.com/show_bug.cgi?id=CVE-2019-14378), но остаётся неисправленной в Debian (https://security-tracker.debian.org/tracker/CVE-2019-14378), Arch Linux (https://security.archlinux.org/CVE-2019-14378) и FreeBSD (http://www.vuxml.org/freebsd/). В Ubuntu (https://people.canonical.com/~ubuntu-security/cve/2019/CVE-2... и RHEL (https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2019-14378) проблема не проявляется из-за неиспользования slirp. Уязвимость остаётся неисправленой в последнем выпуске libslirp 4.0 (https://gitlab.freedesktop.org/slirp/libslirp/-/releases) (исправление пока доступно в виде патча (https://gitlab.freedesktop.org/slirp/libslirp/commit/126c04a.... URL: https://blog.bi0s.in/2019/08/20/Pwn/VM-Escape/2019-07-29-qem.../ Новость: https://www.opennet.dev/opennews/art.shtml?num=51343
Ответить \| Правка \| Cообщить модератору

Оглавление

Короче говоря, пора уже привыкнуть к тому, что виртуализация не есть изоляция , Аноним (1), 11:20 , 23-Авг-19, (1) +15

Да Думаю практически у всех за редким исключением вся безопасность построена , mumu (ok), 11:26 , 23-Авг-19, (2)

по этому нужно виртуалку запускать в виртуалке что бы ломателю не скучно было, Аноним (7), 12:11 , 23-Авг-19, (7) +9

Я же говорил, что вместо процов надо ставить FPGA Во-первых, можно будет исправ, Корец (?), 18:39 , 23-Авг-19, (24) –1

И цены на аккумуляторы упадут еще сильнее, их ведь, если во всей мобильной техни, Hewlett Packard (?), 23:12 , 23-Авг-19, (26) –1

SLIRP на серверах с виртуалками не используют - он медленный и не может слушать , Тупой погроммист (?), 12:22 , 23-Авг-19, (8) +6

Где одно там и другое Тут важен сам факт такой возможности и что это не что-то , mumu (ok), 13:18 , 23-Авг-19, (14) –1

один Мы и в 2008м физически разделяли закрытые и открытые сервисы - не просто н, пох. (?), 13:38 , 23-Авг-19, (15)

С SDN и всякой гиперконвергентностью всё стало гораздо запутанней Не буду же я , mumu (ok), 14:32 , 23-Авг-19, (17) –1

ну вот по этой причине - презервативов на свечке должно быть поболее одного при, пох. (?), 14:38 , 23-Авг-19, (18)
Imho, тут так - виртуалки - неплохой способ отделить незлонамеренных бакланов др, mickvav (?), 19:14 , 23-Авг-19, (25)

днем-то он мирный абрикос, а ночью - дикий урюк поломали очередной врот-пресс, пох. (?), 09:19 , 24-Авг-19, (27) +1

Вы на полном серьезе считаете вмтварь виртуализацией Мне страшно за вас , G0Dzilla (ok), 13:12 , 25-Авг-19, (31) –3

так это давно понятно, поэтому связка из libvirt qemu kvm легко и приятно подхва, leap42 (ok), 11:33 , 23-Авг-19, (3)
Вполне себе изоляция с определенным степенем надежности Одна серьезная уязвимос, Аноним (6), 11:45 , 23-Авг-19, (6) +4

Дыры в qemu не отменяют аппаратных дыр Виртуализация не решает никаких проблем б, Аноним (-), 20:17 , 24-Авг-19, (29)

ага, как не пытаются просто закрыть глаза и писать свой г-код без оглядки на без, Leo90 (?), 12:29 , 23-Авг-19, (10) –2

о хоть где-то плюс убунты а то я уже хотел уходить с нее , advisor (ok), 11:40 , 23-Авг-19, (4) –3
А вот называли бы функции менее ругательно -- и ошибки поди не допустили бы , Аноним (5), 11:44 , 23-Авг-19, (5) +3

наоборот - так она прошла бы sjw контроль, и была бы и в убунте тоже, пох. (?), 12:22 , 23-Авг-19, (9) +1

Нет бесплатного сыра Дешево, в адекекватные сроки не 10 лет , безопасно Выбер, Аноним (11), 13:05 , 23-Авг-19, (11)

Бесплатный сыр ЕСТЬ 8212 в нетоварной экономике, например в opensource , Аноним (13), 13:15 , 23-Авг-19, (13) –2

Где все более менее крупные проекты живут за счет вливаний от большого бизнеса, , OpenEcho (?), 16:53 , 23-Авг-19, (22) –1

а некрупные выживают на donate и тааакой рекламе, с которой уже даже гугель боре, пох. (?), 09:23 , 24-Авг-19, (28) –1

Ну вот, как говорят мудрые люди, и на старуху найдется проруха , Аноним (-), 22:00 , 24-Авг-19, (30)

Proxmox уязвим , Аноним (12), 13:13 , 23-Авг-19, (12) +1

Не должен В продакшене slirp не используют, Мертвые_опята (?), 14:16 , 23-Авг-19, (16) +2

code ipfw list 124 head00100 reass ip from any to any in code Удачи проэксп, анонн (ok), 15:02 , 23-Авг-19, (19)

На, жри кактус https www opennet ru opennews art shtml num 39674, Аноним (32), 01:21 , 26-Авг-19, (32) –1

Т е ты не в курсе, чем TCP-фрагментация out-of-order отличается от фрагментац, анонн (ok), 12:23 , 26-Авг-19, (33)

Не могу не вспомнить прекрасное You are absolutely deluded, if not stupid, if y, Дон Ягон (ok), 15:11 , 23-Авг-19, (20) +1
В CentOS 7 эксплойт таки работает процесс qemu падает , Аноним (21), 16:19 , 23-Авг-19, (21)

А калькулятор другое тестовое приложение запускается , Аноним (23), 16:58 , 23-Авг-19, (23)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 23-Авг-19, 11:20 +15 +/–

Короче говоря, пора уже привыкнуть к тому, что виртуализация не есть изоляция.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3, #6, #10

2. Сообщение от mumu (ok), 23-Авг-19, 11:26 +/–

Да. Думаю практически у всех (за редким исключением) вся безопасность построена на том, что нельзя выйти из контейнера в хостовую систему.
А сейчас уже приходится делать чуть ли не по отдельному датацентру на каждую DMZ. Это капец как накладно и мало кто такое может потянуть.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #7, #8

3. Сообщение от leap42 (ok), 23-Авг-19, 11:33 +/–

так это давно понятно, поэтому связка из libvirt+qemu+kvm легко и приятно подхватывает SELinux или AppArmor. буквально надо 2 строчки в конфиге поправить для суровой изоляции.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

4. Сообщение от advisor (ok), 23-Авг-19, 11:40 –3 +/–

о хоть где-то плюс убунты. а то я уже хотел уходить с нее.

Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 23-Авг-19, 11:44 +3 +/–

> Из-за ошибки в функции ip_reass(),
А вот называли бы функции менее ругательно -- и ошибки поди не допустили бы:)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9

6. Сообщение от Аноним (6), 23-Авг-19, 11:45 +4 +/–

Вполне себе изоляция с определенным степенем надежности.
Одна серьезная уязвимость в qemu в раз полгода - лучше, нежели поддержка зоопарка вроде бы изолированных серверов с потенциальными аппаратными уязвимостям, которые пофиксятся только апдейтом железа.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #29

7. Сообщение от Аноним (7), 23-Авг-19, 12:11 +9 +/–

по этому нужно виртуалку запускать в виртуалке. что бы ломателю не скучно было

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #24

8. Сообщение от Тупой погроммист (?), 23-Авг-19, 12:22 +6 +/–

SLIRP на серверах с виртуалками не используют - он медленный и не может слушать порты (без дополнительной настройки). Он для тех, кому лень настроить бридж (домашние пользователи) или нет возможности настроить систему из под рута (CI). Вообщем, тут мимо.
P.S. Redhat-овский buildah & podman (рекламируемый как "более безопасный docker"), кстати, тоже по-дефолту SLIRP для контейнеров использует.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #14

9. Сообщение от пох. (?), 23-Авг-19, 12:22 +1 +/–

наоборот - так она прошла бы sjw контроль, и была бы и в убунте тоже

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5

10. Сообщение от Leo90 (?), 23-Авг-19, 12:29 –2 +/–

ага, как не пытаются просто закрыть глаза и писать свой г-код без оглядки на безопастноить, да и вобще, без оглядки, все никак не получится..

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (11), 23-Авг-19, 13:05 +/–

Нет бесплатного сыра. Дешево, в адекекватные сроки (не 10 лет), безопасно. Выберете что-то одно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13

12. Сообщение от Аноним (12), 23-Авг-19, 13:13 +1 +/–

Proxmox уязвим?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #16

13. Сообщение от Аноним (13), 23-Авг-19, 13:15 –2 +/–

Бесплатный сыр ЕСТЬ — в нетоварной экономике, например в opensource.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #22

14. Сообщение от mumu (ok), 23-Авг-19, 13:18 –1 +/–

Где одно там и другое. Тут важен сам факт такой возможности и что это не что-то там заоблачное. Уязвимость в vmxnet3 многих заставила пересмотреть всю архитектуру ИБ и наплодить буферных зон там, где их раньше не было.
Когда все топили за виртуализацию году в 2006-м вообще никто предположить не мог (ну или я один такой наивный был), что выход из гостевой VM физически возможен. Это казалось святым граалем в плане изоляции недоверенных сред.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #15

15. Сообщение от пох. (?), 23-Авг-19, 13:38 +/–

один. Мы и в 2008м физически разделяли закрытые и открытые сервисы - не просто не смешивая их на соседних виртуалках, а вообще в разных стойках и на разном сетевом оборудовании (да, никаких "грязных" вланов на том же свитче, на котором крутятся внутренние сервисы)
> Это казалось святым граалем в плане изоляции недоверенных сред.
ну надеюсь теперь-то поняли, что это просто еще один презерватив, надетый на свечку?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #17

16. Сообщение от Мертвые_опята (?), 23-Авг-19, 14:16 +2 +/–

Не должен. В продакшене slirp не используют

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12

17. Сообщение от mumu (ok), 23-Авг-19, 14:32 –1 +/–

С SDN и всякой гиперконвергентностью всё стало гораздо запутанней. Не буду же я отдельный Cisco ACI под разные среды поднимать. Ладно, суёшь в целые отдельные тенанты. А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"...
И зачем нужен vmware NSX, если всё железными коммутами отбивать. Тут приходится идти на компромиссы.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #18, #25, #31

18. Сообщение от пох. (?), 23-Авг-19, 14:38 +/–

> А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"...
ну вот по этой причине - презервативов на свечке должно быть поболее одного.
(причем при большом желании все равно поимеют, так или иначе)

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

19. Сообщение от анонн (ok), 23-Авг-19, 15:02 +/–

> но остаётся неисправленной в Debian, Arch Linux и FreeBSD

# ipfw list|head
00100 reass ip from any to any in

Удачи проэксплуатировать.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #32

20. Сообщение от Дон Ягон (ok), 23-Авг-19, 15:11 +1 +/–

Не могу не вспомнить прекрасное:
"You are absolutely deluded, if not stupid, if you think that a
worldwide collection of software engineers who can't write operating
systems or applications without security holes, can then turn around
and suddenly write virtualization layers without security holes."
(https://marc.info/?l=openbsd-misc&m=119318909016582)

Ответить | Правка | Наверх | Cообщить модератору

21. Сообщение от Аноним (21), 23-Авг-19, 16:19 +/–

В CentOS 7 эксплойт таки работает: процесс qemu падает.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #23

22. Сообщение от OpenEcho (?), 23-Авг-19, 16:53 –1 +/–

>например в opensource
Где все более менее крупные проекты живут за счет вливаний от большого бизнеса, а как известно, - кто девушку поит, то ее и танцует

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #28

23. Сообщение от Аноним (23), 23-Авг-19, 16:58 +/–

А калькулятор/другое тестовое приложение запускается?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

24. Сообщение от Корец (?), 23-Авг-19, 18:39 –1 +/–

Я же говорил, что вместо процов надо ставить FPGA! Во-первых, можно будет исправлять любые аппаратные уязвимости, а во-вторых, можно будет реализовать аппаратные контейнеры.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #26

25. Сообщение от mickvav (?), 23-Авг-19, 19:14 +/–

Imho, тут так - виртуалки - неплохой способ отделить незлонамеренных бакланов друг от друга. Не более.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #27

26. Сообщение от Hewlett Packard (?), 23-Авг-19, 23:12 –1 +/–

И цены на аккумуляторы упадут еще сильнее, их ведь, если во всей мобильной технике заменить CPU на FPGA, потребуется в десятки раз больше.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #24

27. Сообщение от пох. (?), 24-Авг-19, 09:19 +1 +/–

"днем-то он мирный абрикос, а ночью - дикий урюк!" поломали очередной врот-пресс, и вместо незлонамеренного резвится стая любителей свежих эксплойтов.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

28. Сообщение от пох. (?), 24-Авг-19, 09:23 –1 +/–

а некрупные выживают на donate и тааакой рекламе, с которой уже даже гугель борется, потому что она позорит его бизнес.
А о "нетоварной экономике" рассказывают только те, кто бесплатный сыр потом жрет с лопаты, не слишком брезгуя.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #30

29. Сообщение от Аноним (-), 24-Авг-19, 20:17 +/–

Дыры в qemu не отменяют аппаратных дыр.
Виртуализация не решает никаких проблем безопасности, только создаёт дополнительные.
Другой вопрос, что иногда без виртуализации прикладные проблемы решать неудобно. Поэтому приходится мириться с дополнительными потенциальными проблемами в безопасности.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6

30. Сообщение от Аноним (-), 24-Авг-19, 22:00 +/–

> потому что она позорит его бизнес.
Ну вот, как говорят мудрые люди, и на старуху найдется проруха.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28

31. Сообщение от G0Dzilla (ok), 25-Авг-19, 13:12 –3 +/–

Вы на полном серьезе считаете вмтварь виртуализацией? Мне страшно за вас.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

32. Сообщение от Аноним (32), 26-Авг-19, 01:21 –1 +/–

На, жри кактус: https://www.opennet.dev/opennews/art.shtml?num=39674

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #33

33. Сообщение от анонн (ok), 26-Авг-19, 12:23 +/–

> На, жри кактус: https://www.opennet.dev/opennews/art.shtml?num=39674
Т.е. ты не в курсе, чем TCP-фрагментация "out-of-order" отличается от фрагментации "больших" IP-пакетов или к чему эта ссылка (которую ты похоже даже и не читал толком)?
> It is possible to defend to these attacks by doing traffic normalization
> using a firewall. This can be done by including the following /etc/pf.conf
> configuration:
> scrub in all
Кстати, уязвимости только этого года у "некактосов":
https://www.cvedetails.com/cve/CVE-2019-11683/
https://www.cvedetails.com/cve/CVE-2019-11479/
https://www.cvedetails.com/cve/CVE-2019-11815/
но ты продолжай, продолжай.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 23-Авг-19, 11:20	+15 +/–
Короче говоря, пора уже привыкнуть к тому, что виртуализация не есть изоляция.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #3, #6, #10

2. Сообщение от mumu (ok), 23-Авг-19, 11:26	+/–
Да. Думаю практически у всех (за редким исключением) вся безопасность построена на том, что нельзя выйти из контейнера в хостовую систему. А сейчас уже приходится делать чуть ли не по отдельному датацентру на каждую DMZ. Это капец как накладно и мало кто такое может потянуть.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #7, #8

3. Сообщение от leap42 (ok), 23-Авг-19, 11:33	+/–
так это давно понятно, поэтому связка из libvirt+qemu+kvm легко и приятно подхватывает SELinux или AppArmor. буквально надо 2 строчки в конфиге поправить для суровой изоляции.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

4. Сообщение от advisor (ok), 23-Авг-19, 11:40	–3 +/–
о хоть где-то плюс убунты. а то я уже хотел уходить с нее.
Ответить \| Правка \| Наверх \| Cообщить модератору

5. Сообщение от Аноним (5), 23-Авг-19, 11:44	+3 +/–
> Из-за ошибки в функции ip_reass(), А вот называли бы функции менее ругательно -- и ошибки поди не допустили бы:)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #9

6. Сообщение от Аноним (6), 23-Авг-19, 11:45	+4 +/–
Вполне себе изоляция с определенным степенем надежности. Одна серьезная уязвимость в qemu в раз полгода - лучше, нежели поддержка зоопарка вроде бы изолированных серверов с потенциальными аппаратными уязвимостям, которые пофиксятся только апдейтом железа.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #29

7. Сообщение от Аноним (7), 23-Авг-19, 12:11	+9 +/–
по этому нужно виртуалку запускать в виртуалке. что бы ломателю не скучно было
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #24

8. Сообщение от Тупой погроммист (?), 23-Авг-19, 12:22	+6 +/–
SLIRP на серверах с виртуалками не используют - он медленный и не может слушать порты (без дополнительной настройки). Он для тех, кому лень настроить бридж (домашние пользователи) или нет возможности настроить систему из под рута (CI). Вообщем, тут мимо. P.S. Redhat-овский buildah & podman (рекламируемый как "более безопасный docker"), кстати, тоже по-дефолту SLIRP для контейнеров использует.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #14

9. Сообщение от пох. (?), 23-Авг-19, 12:22	+1 +/–
наоборот - так она прошла бы sjw контроль, и была бы и в убунте тоже
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #5

10. Сообщение от Leo90 (?), 23-Авг-19, 12:29	–2 +/–
ага, как не пытаются просто закрыть глаза и писать свой г-код без оглядки на безопастноить, да и вобще, без оглядки, все никак не получится..
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

11. Сообщение от Аноним (11), 23-Авг-19, 13:05	+/–
Нет бесплатного сыра. Дешево, в адекекватные сроки (не 10 лет), безопасно. Выберете что-то одно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #13

12. Сообщение от Аноним (12), 23-Авг-19, 13:13	+1 +/–
Proxmox уязвим?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #16

13. Сообщение от Аноним (13), 23-Авг-19, 13:15	–2 +/–
Бесплатный сыр ЕСТЬ — в нетоварной экономике, например в opensource.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #22

14. Сообщение от mumu (ok), 23-Авг-19, 13:18	–1 +/–
Где одно там и другое. Тут важен сам факт такой возможности и что это не что-то там заоблачное. Уязвимость в vmxnet3 многих заставила пересмотреть всю архитектуру ИБ и наплодить буферных зон там, где их раньше не было. Когда все топили за виртуализацию году в 2006-м вообще никто предположить не мог (ну или я один такой наивный был), что выход из гостевой VM физически возможен. Это казалось святым граалем в плане изоляции недоверенных сред.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #8 Ответы: #15

15. Сообщение от пох. (?), 23-Авг-19, 13:38	+/–
один. Мы и в 2008м физически разделяли закрытые и открытые сервисы - не просто не смешивая их на соседних виртуалках, а вообще в разных стойках и на разном сетевом оборудовании (да, никаких "грязных" вланов на том же свитче, на котором крутятся внутренние сервисы) > Это казалось святым граалем в плане изоляции недоверенных сред. ну надеюсь теперь-то поняли, что это просто еще один презерватив, надетый на свечку?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14 Ответы: #17

16. Сообщение от Мертвые_опята (?), 23-Авг-19, 14:16	+2 +/–
Не должен. В продакшене slirp не используют
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12

17. Сообщение от mumu (ok), 23-Авг-19, 14:32	–1 +/–
С SDN и всякой гиперконвергентностью всё стало гораздо запутанней. Не буду же я отдельный Cisco ACI под разные среды поднимать. Ладно, суёшь в целые отдельные тенанты. А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"... И зачем нужен vmware NSX, если всё железными коммутами отбивать. Тут приходится идти на компромиссы.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #15 Ответы: #18, #25, #31

18. Сообщение от пох. (?), 23-Авг-19, 14:38	+/–
> А потом такой радостно читаешь ньюз на опеннете: "Выход за границы tenant-а"... ну вот по этой причине - презервативов на свечке должно быть поболее одного. (причем при большом желании все равно поимеют, так или иначе)
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

19. Сообщение от анонн (ok), 23-Авг-19, 15:02	+/–
> но остаётся неисправленной в Debian, Arch Linux и FreeBSD # ipfw list\|head 00100 reass ip from any to any in Удачи проэксплуатировать.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #32

20. Сообщение от Дон Ягон (ok), 23-Авг-19, 15:11	+1 +/–
Не могу не вспомнить прекрасное: "You are absolutely deluded, if not stupid, if you think that a worldwide collection of software engineers who can't write operating systems or applications without security holes, can then turn around and suddenly write virtualization layers without security holes." (https://marc.info/?l=openbsd-misc&m=119318909016582)
Ответить \| Правка \| Наверх \| Cообщить модератору

21. Сообщение от Аноним (21), 23-Авг-19, 16:19	+/–
В CentOS 7 эксплойт таки работает: процесс qemu падает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #23

22. Сообщение от OpenEcho (?), 23-Авг-19, 16:53	–1 +/–
>например в opensource Где все более менее крупные проекты живут за счет вливаний от большого бизнеса, а как известно, - кто девушку поит, то ее и танцует
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #28

23. Сообщение от Аноним (23), 23-Авг-19, 16:58	+/–
А калькулятор/другое тестовое приложение запускается?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

24. Сообщение от Корец (?), 23-Авг-19, 18:39	–1 +/–
Я же говорил, что вместо процов надо ставить FPGA! Во-первых, можно будет исправлять любые аппаратные уязвимости, а во-вторых, можно будет реализовать аппаратные контейнеры.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #7 Ответы: #26

25. Сообщение от mickvav (?), 23-Авг-19, 19:14	+/–
Imho, тут так - виртуалки - неплохой способ отделить незлонамеренных бакланов друг от друга. Не более.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #27

26. Сообщение от Hewlett Packard (?), 23-Авг-19, 23:12	–1 +/–
И цены на аккумуляторы упадут еще сильнее, их ведь, если во всей мобильной технике заменить CPU на FPGA, потребуется в десятки раз больше.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #24

27. Сообщение от пох. (?), 24-Авг-19, 09:19	+1 +/–
"днем-то он мирный абрикос, а ночью - дикий урюк!" поломали очередной врот-пресс, и вместо незлонамеренного резвится стая любителей свежих эксплойтов.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

28. Сообщение от пох. (?), 24-Авг-19, 09:23	–1 +/–
а некрупные выживают на donate и тааакой рекламе, с которой уже даже гугель борется, потому что она позорит его бизнес. А о "нетоварной экономике" рассказывают только те, кто бесплатный сыр потом жрет с лопаты, не слишком брезгуя.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #22 Ответы: #30

29. Сообщение от Аноним (-), 24-Авг-19, 20:17	+/–
Дыры в qemu не отменяют аппаратных дыр. Виртуализация не решает никаких проблем безопасности, только создаёт дополнительные. Другой вопрос, что иногда без виртуализации прикладные проблемы решать неудобно. Поэтому приходится мириться с дополнительными потенциальными проблемами в безопасности.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #6

30. Сообщение от Аноним (-), 24-Авг-19, 22:00	+/–
> потому что она позорит его бизнес. Ну вот, как говорят мудрые люди, и на старуху найдется проруха.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28