В Xen версий до 4.12.x обнаружена проблема, позволяющая пользователям гостевой ОС x86 PV получить привилегии хост-ОС, используя условия гон…

В Xen версий до 4.12.x обнаружена проблема, позволяющая пользователям гостевой ОС x86 PV получить привилегии хост-ОС, используя условия гонки в операциях повышения и понижения таблиц страниц. Существуют проблемы с операциями изменения типа PV с возможностью перезапуска. Чтобы избежать использования теневых таблиц страниц для PV гостей, Xen предоставляет гостю фактические аппаратные таблицы страниц. Чтобы предотвратить прямое изменение этих таблиц страниц гостем, Xen отслеживает использование страниц с помощью системы типов; страницы должны быть "повышены" перед использованием в качестве таблицы страниц и "понижены" перед использованием для любого другого типа. Xen также допускает "рекурсивные" повышения: то есть операционная система, повышающая страницу до L4 таблицы страниц, может привести к повышению страниц до L3, что, в свою очередь, может привести к повышению страниц до L2 и так далее. Эти операции могут занимать произвольно большое количество времени и поэтому должны быть перезапускаемыми. К сожалению, сделать рекурсивные операции повышения и понижения таблиц страниц перезапускаемыми невероятно сложно, и код содержит несколько гонок, которые, если их вызвать, могут привести к тому, что Xen отбросит или сохранит дополнительные счетчики типов, потенциально позволяя гостям получить доступ на запись к используемым таблицам страниц. Злонамеренный администратор PV гостя может повысить свои привилегии до уровня хоста. Все x86 системы с ненадежными PV гостями уязвимы. HVM и PVH гости не могут использовать эту уязвимость.