VHOST-NET 게스트에서 호스트로의 탈출 - 커널 보안 취약점 - CVE-2019-14835

해결 방법

영향을 받는 Red Hat 제품 버전을 사용 중인 모든 Red Hat 고객은 관련 패치가 릴리스되는 즉시 업데이트할 것을 권장합니다. 즉시 적절한 업데이트를 적용하십시오.

알림

이 취약점의 악용 수준이 낮기 때문에 현재 시스템에서 취약점이 성공적으로 실행되었는지 감지할 수 있는 확실한 방법이 없습니다.

Red Hat Product Security는 멀티 테넌트 워크로드를 지원하는 시스템에 대한 정보를 참조할 것을 강력히 권장합니다. 게스트 마이그레이션 기능이 필요한 우선 순위가 높은 시스템의 패치를 확인하십시오.

Red Hat Enterprise Linux 7 이상 지원 버전을 사용하는 고객의 경우 kpatch를 사용할 수 있습니다. kpatch를 받으려면 지원 케이스를 작성하십시오.

kpatch에 대한 자세한 내용은 Is live kernel patching (kpatch) supported in RHEL 7 and beyond?에서 참조하십시오.

영향을 받는 제품 업데이트

완화 방법

옵션 #1 vhost-net 비활성화

게스트별로 Vhost-net 기능을 비활성화할 수 있습니다. VHOST-NET 비활성화를 참조하십시오.

표준 블랙리스트 기술을 사용하여 영향을 받는 코드가 포함 된 'vhost_net'이라는 커널 모듈을 블랙리스트에 추가할 수 있습니다. 자세한 내용은 How do I blacklist a kernel module to prevent it from loading automatically?에서 참조하십시오. 

변경 사항을 적용하려면 vhost-net 기능을 사용하여 게스트를 다시 시작해야합니다.

옵션 #2 게스트 라이브 마이그레이션 비활성화

이 취약점은 게스트의 라이브 마이그레이션 수행 시에만 발생합니다. 자동 마이그레이션을 완전히 비활성화하거나 게스트를 다른 호스트로 수동으로 마이그레이션하지 않도록 하면 취약점이 악용되는 것을 방지할 수 있습니다.

CNV - 라이브 마이그레이션 지원 비활성화

kubevirt 네임 스페이스에 있는 kubevirt-config 설정 파일의 data: feature-gates:에서 "LiveMigration" 필드를 삭제하여 라이브 마이그레이션 기능을 비활성화합니다.

작업 순서
kubevirt-config 설정 파일을 편집하고`feature-gates` 줄에서 LiveMigration을 삭제합니다.

$ oc edit configmap kubevirt-config -n kubevirt
...
data:
  feature-gates: "LiveMigration"
위의 줄에서 "LiveMigration"을 삭제합니다.

변경 사항을 적용하려면 virt-api 및 virt-controller pod를 다시 시작해야합니다.

$ oc delete pod virt-api -n kube-system
$ oc delete pod virt-controller -n kube-system

Red Hat Virtualization - 자동 마이그레이션 비활성화

클러스터 수준 또는 별도의 게스트 시스템에서 마이그레이션을 비활성화할 수 있습니다.  일반적으로 Red Hat Virtualization은 로드 측정, 호환성, 복원력 및 가용성 정책에 따라 게스트를 클러스터 내의 다른 호스트로 자동 마이그레이션합니다.  클러스터 내의 호스트가 유지 관리 모드로 설정되어 있을 때 게스트를 마이그레이션할 수도 있습니다.

자동 마이그레이션 정책은 클러스터 수준 또는 호스트 별 설정에서 제어할 수 있습니다.

• 클러스터에서 복원 정책 을 “가상 시스템을 마이그레이션하지 않음”으로 설정하면 해당 클러스터 내의 모든 가상 머신이 마이그레이션되지 않습니다.  자세한 내용은 Administration Guide: Migration Policy Settings 에서 참조하십시오.
• 개별 게스트를 특정 호스트에 고정하거나 마이그레이션 옵션을 “마이그레이션을 허용하지 않음”으로 설정하면 개별 게스트가 마이그레이션되지 않습니다.  자세한 내용은 Management Guide: Preventing Automatic Migration of a Virtual Machine에서 참조하십시오.

호스트가 유지 관리 모드로 전환될 때 게스트가 마이그레이션되지 않도록하려면 게스트를 “마이그레이션을 허용하지 않음”으로 설정하거나 유지 관리 모드로 전환하기 전에 해당 호스트의 모든 게스트를 종료하십시오.

고객은 이 문제를 해결하기 위해 위험 기반 접근 방식을 사용하는 것이 좋습니다. 높은 수준의 보안 및 신뢰가 요구되는 시스템을 먼저 처리해야 하며 악용 위험을 줄이기 위해 대처 방안이 해당 시스템에 적용될 때 까지 신뢰할 수 없는 시스템과 격리해야 합니다.

성능에 미치는 영향

수정 사항이 포함된 릴리스로 커널을 업데이트해도 성능에 별다른 영향을 미치지 않습니다.

vhost-net을 비활성화하는 완화 기능을 사용하면 성능에 영향을 줄 수 있습니다. 실제로 시스템 성능에 미치는 영향은 시스템의 네트워크 로드에 따라 다릅니다.

Ansible Playbook

취약한 커널 모듈이 로드되지 않도록하는 완화 Playbook을 사용할 수 있습니다. 이 Playbook은 시스템을 재부팅하여 관련 모듈이 언로드되도록합니다. Playbook을 사용하려면 HOSTS 변수에 대상 시스템의 인벤토리 이름을 지정합니다. 예를 들면 다음과 같습니다.

ansible-playbook -e HOSTS=myhost1,myhost2 CVE-2019-14835_blacklist_mitigate.yml

분리된 GPG 서명을 사용할 수 있습니다.