XEN プラットフォームで CVE-2017-5753 に対処する
Environment
- Red Hat Enterprise Linux 5 (Xen ホストおよびゲスト)
- Red Hat Enterprise Linux 6 (Xen ゲスト)
Issue
- 先日見つかったセキュリティーの脆弱性問題について、Xen のホストシステムではどのように対応する必要がありますか?
- Xen マシンで CVE-2017-5753 を修正することはできますか?
Resolution
先日、3 つの CVE (CVE-2017-5754、CVE-2017-5753、CVE-2017-5715) が公開されましたが、この脆弱性により、ローカルの攻撃者が認証されていないデータにアクセスできるようになります。CVE-2017-5753 では、仮想ゲストが、ホストや、同じ物理システムにあるその他のゲストと通信できるようになる、この攻撃のバリアントについて説明しています。
KVM ハイパーバイザーに基づいて Red Hat が現在サポートする仮想化プラットフォームは、この問題を修正するエラータを公開しました。 Red Hat の以前の仮想化プラットフォームのコードベースには技術制限があり、この脆弱性 (特に CVE-2017-5715) を十分に抑えることができません。したがって、Xen 準仮想化 (PV ゲスト) を使用するハイパーバイザーおよびゲストには、リスクが多少残ります。
アップストリーム Xen の最新バージョンはより完全なソリューションを可能にしますが、Red Hat Enterprise Linux 5 に同梱される Xen のバージョンにこのソリューションを適用することは適していません。ただし、Xen ハイパーバイザーを使用するクラウドプロバイダーでは、サーバーで実行する準仮想化を保護する方法があります。
また、Xen は、ハードウェアの仮想化 (HVM ゲスト) 下でゲストを実行することをサポートします。HVM ゲストの制限は、PV ゲストと同じではありませんが、Red Hat Enterprise Linux 5 には脆弱性へのフィックスが 3 つ用意されています。ほとんどの場合、Xen を稼動している場合は、準仮想化ゲストのサポートにより、このフィックスを使用できます。したがって、Red Hat は、現時点では HVM ゲストの問題を修正するエラータを提供していません。
この問題を緩和させるには、リスクベースの方法を選択することが推奨されます。 高度のセキュリティーが必要な XEN で実行するシステムでは、信頼性が最初に対応すべき項目なので、信頼されないシステムから物理的に分離する必要があります。
| システムの種類 | 推奨されるアプローチ |
|---|---|
| XEN サーバーとして実行する Red Hat Enterprise Linux | XEN pv には、上述の CVE は適していません。サブスクライブをお持ちの場合は、修正が可能な、より最新の準仮想化プラットフォームに移行することが推奨されます。 |
| クラウドプロバイダーのゲストとして実行している Red Hat Enterprise | XEN プロバイダーにお問合せください。 |
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments