- 23,079
- 46
- 8 Ноя 2022
Рождественский подарок для админов.
Накануне Рождества в Linux обнаружилась неприятная ошибка, которая может доставить много проблем администраторам серверов, особенно в публичных облаках. Речь о сценарии, когда гостевая виртуальная машина на KVM использует Intel Advanced Matrix Extensions (AMX), а хостовая система в ответ может уйти в kernel panic. Проблема проявляется в ветках ядра, выходивших с 2022 года, и затрагивает релизы, начиная как минимум с Linux 5.17, то есть практически все актуальные установки, где AMX реально используется в продакшене.
AMX - это набор расширений, который Intel продвигает как одно из преимуществ свежих поколений Xeon Scalable: он ускоряет матричные операции и может заметно помочь ИИ-нагрузкам при наличии подходящего софта. Однако в KVM вскрылась уязвимость логики работы с состоянием FPU и XSAVE: использование AMX внутри гостя способно привести к неожиданному исключению #NM и, как следствие, к падению хоста.
Серия исправлений уже предложена : мейнтейнер Linux KVM Паоло Бонзини (Red Hat) опубликовал патчи в рассылке ядра с описанием причины. По его объяснению, значение XFD, заданное гостем и хранящееся в fpstate->xfd, используется одновременно и при выполнении гостевого кода, и в операциях сохранения состояния на стороне хоста (XSAVE). При этом гость может сконфигурировать XFD так, что будут отключены возможности, которые хосту нужны включенными, чтобы корректно восстановить состояние гостя через XRSTOR - отсюда и риск паники ядра.
В опубликованной серии патчей предлагается, в частности, разделить “гостевой” XFD и значение в fpstate->xfd, а также добавить тесты в selftests для воспроизведения рассинхронизации XFD и XSAVE-состояния. Патчи пока находятся на ревью; ожидается, что затем они попадут в основное дерево и будут разнесены в стабильные ветки через бэкпорт. На момент публикации заметки публичного CVE для этой проблемы, судя по всему, еще нет, и ситуацию рассматривают как потенциальный denial of service.
Накануне Рождества в Linux обнаружилась неприятная ошибка, которая может доставить много проблем администраторам серверов, особенно в публичных облаках. Речь о сценарии, когда гостевая виртуальная машина на KVM использует Intel Advanced Matrix Extensions (AMX), а хостовая система в ответ может уйти в kernel panic. Проблема проявляется в ветках ядра, выходивших с 2022 года, и затрагивает релизы, начиная как минимум с Linux 5.17, то есть практически все актуальные установки, где AMX реально используется в продакшене.
AMX - это набор расширений, который Intel продвигает как одно из преимуществ свежих поколений Xeon Scalable: он ускоряет матричные операции и может заметно помочь ИИ-нагрузкам при наличии подходящего софта. Однако в KVM вскрылась уязвимость логики работы с состоянием FPU и XSAVE: использование AMX внутри гостя способно привести к неожиданному исключению #NM и, как следствие, к падению хоста.
Серия исправлений уже предложена : мейнтейнер Linux KVM Паоло Бонзини (Red Hat) опубликовал патчи в рассылке ядра с описанием причины. По его объяснению, значение XFD, заданное гостем и хранящееся в fpstate->xfd, используется одновременно и при выполнении гостевого кода, и в операциях сохранения состояния на стороне хоста (XSAVE). При этом гость может сконфигурировать XFD так, что будут отключены возможности, которые хосту нужны включенными, чтобы корректно восстановить состояние гостя через XRSTOR - отсюда и риск паники ядра.
В опубликованной серии патчей предлагается, в частности, разделить “гостевой” XFD и значение в fpstate->xfd, а также добавить тесты в selftests для воспроизведения рассинхронизации XFD и XSAVE-состояния. Патчи пока находятся на ревью; ожидается, что затем они попадут в основное дерево и будут разнесены в стабильные ветки через бэкпорт. На момент публикации заметки публичного CVE для этой проблемы, судя по всему, еще нет, и ситуацию рассматривают как потенциальный denial of service.
- Источник новости
- www.securitylab.ru
