LINUX.ORG.RU

meltdown

 ,


0

3

Здравствуйте. Как мы знаем «позволяет получить доступ к чужой памяти в системах паравиртуализации (режим полной виртуализации (HVM) проблеме не подвержен) и контейнерной изоляции (в том числе Docker, LXC, OpenVZ), например, пользователь одной виртуальной машины может получить содержимое памяти хост-системы и других виртуальных машин». При этом где-то упоминается, что KVM тоже подвержен этой уязвимости. Кто прав?

И если таки KVM системы тоже подвержены, то как быть с обновлениями? Нужно обновлять хост систему и быть спокойным или хост системы и все kvm-машины? На этот вопрос я тоже вопроса не нашел, увы


Ответ на: комментарий от USF

хост системы и все km-машины

Именно так. Ибо внутри kvm уязвимость остается, она не затронет хост, но в пределах самой виртуалки работает.

а если брать примеры контейнеров, то в качестве защиты достаточно обновления хост-системы?

Контейнер работает на ядре хоста, так что достаточно.

anc ★★★★★ ()
Ответ на: комментарий от anc

Вроде бы не наискосок.

Fully virtualized technologies are not affected in the sense that guests cannot access host (hypervisor) memory. However, an unprivileged guest process can still access privileged (and other unprivileged) guest process memory pages. Container-based technologies are affected by Meltdown across container boundaries.

Я, конечно, многого не знаю, но разве unprivileged/privileged guest process упоминаются не в контексте сontainer-based technologies? Объясните пожалуйста.

vwvol ()
Ответ на: комментарий от vwvol

Перечитайте еще раз

guests cannot access host (hypervisor) memory.

Что логично. Далее.

However, an unprivileged guest process can still access privileged (and other unprivileged) guest process memory pages.

Т.е. гость внутри себя уязвим, что так же логично.

А дальше уже про контейнеры

Container-based technologies are affected by Meltdown across container boundaries.

anc ★★★★★ ()
Ответ на: комментарий от anc

Перечитал, идет ли это вразрез с моим «Дядька пишет, что с KVM все ок»?

Т.е. гость внутри себя уязвим, что так же логично.

Вы всерьез думаете, что для кого-то этот момент неочевиден? Автор спросил о KVM, ему ответили про KVM.

vwvol ()
Ответ на: комментарий от vwvol

Перечитал, идет ли это вразрез с моим «Дядька пишет, что с KVM все ок»?

Только в рамках ответа на вопрос ТС.

Вы всерьез думаете, что для кого-то этот момент неочевиден?

Судя по вопросу ТС

Нужно обновлять хост систему и быть спокойным или хост системы и все kvm-машины?

Не для всех очевиден.

anc ★★★★★ ()