Linux 4.4.215/4.9.215/4.14.172/5.5.7内核带来Intel KVM安全修复

Linux 4.4.215/4.9.215/4.14.172/5.5.7内核带来Intel KVM安全修复

几天前，英特尔针对Linux内核的KVM虚拟化代码中的一个安全漏洞。该漏洞源于未完成的内核代码，并已在Linux 5.6 Git中修复，现在已反向移植到受支持的4.4/4.9/4.14/5.5内核。

回到星期一，当CVE-2020-2732修补程序首次亮出时，对此问题鲜为人知，但它源于vmx_check_intercept功能中不完整的代码，即未检查所有可能的拦截，进而可能最终仿真应由管理程序禁用。

从那以后，Red Hat在清单上的披露揭示了更精确的细节：“在启用nested(=1)虚拟化时，KVM虚拟机管理程序处理L2 guest虚拟机的指令仿真的方式中发现了一个缺陷。在指令仿真中，L2 guest虚拟机可能会诱使L0管理程序访问L1管理程序的敏感位。L2 guest可能会利用此缺陷潜在地访问L1管理程序的信息。”

关于CVE-2020-2732的一个重要细节是，必须为此漏洞启用KVM嵌套虚拟化，并且唯一的威胁是Intel CPU。

从周一开始，Linux 5.6 Git就使用必要的补丁进行了保护，现在我们看到这些补丁慢慢地回归到受支持的稳定内核系列。在当前的Linux 5.5周期中，根据今天的审查队列，可以看到Linux 5.5.7的这种缓解。今天，即将发布的LTS内核的检查队列中还包括Linux 4.14.172、4.9.125和4.4.125。补丁的审查队列今天已经发出，而实际的内核版本应该在未来几天内发布。

linuxboy的RSS地址：https://www.linuxboy.net/rssFeed.aspx

本文永久更新链接地址：https://www.linuxboy.net/Linux/2020-02/162452.htm