В ядре Linux устранена следующая уязвимость: KVM: x86: Принудительный выход из вложенной виртуализации при переключении состояния SMM. Прин…

В ядре Linux устранена следующая уязвимость: KVM: x86: Принудительный выход из вложенной виртуализации при переключении состояния SMM. Принудительно прекратить операцию вложенной виртуализации, если пространство пользователя переключает состояние SMM через KVM_SET_VCPU_EVENTS или KVM_SYNC_X86_EVENTS. Если пространство пользователя принудительно выводит vCPU из SMM во время post-VMXON, а затем внедряет SMI, vmx_enter_smm() перезапишет vmx->nested.smm.vmxon и в конечном итоге получит как vmxon=false, так и smm.vmxon=false, но все остальное состояние nVMX будет выделено. Не пытайтесь корректно обрабатывать переход, поскольку (a) большинство переходов бессмысленны, например, принудительный SMM во время работы L2, (b) недостаточно информации для обработки всех переходов, например, SVM требуется доступ к состоянию сохранения SMRAM, и (c) KVM_SET_VCPU_EVENTS должен предшествовать KVM_SET_NESTED_STATE во время восстановления состояния, поскольку последний запрещает помещение vCPU в L2, если SMM активен, и запрещает помечать vCPU как post-VMXON в SMM, если SMM не активен. Злоупотребление KVM_SET_VCPU_EVENTS проявляется в виде WARN и утечки памяти в nVMX из-за невозможности освободить теневой VMCS vmcs01, но ошибка выходит далеко за рамки просто утечки памяти, например, переключение SMM во время активности L2 переводит vCPU в архитектурно невозможное состояние. WARNING: CPU: 0 PID: 3606 at free_loaded_vmcs arch/x86/kvm/vmx/vmx.c:2665 [inline] WARNING: CPU: 0 PID: 3606 at free_loaded_vmcs+0x158/0x1a0 arch/x86/kvm/vmx/vmx.c:2656 Modules linked in: CPU: 1 PID: 3606 Comm: syz-executor725 Not tainted 5.17.0-rc1-syzkaller #0 Hardware name: Google Google Compute Engine/Google Compute Engine, BIOS Google 01/01/2011 RIP: 0010:free_loaded_vmcs arch/x86/kvm/vmx/vmx.c:2665 [inline] RIP: 0010:free_loaded_vmcs+0x158/0x1a0 arch/x86/kvm/vmx/vmx.c:2656 Code: <0f> 0b eb b3 e8 8f 4d 9f 00 e9 f7 fe ff ff 48 89 df e8 92 4d 9f 00 Call Trace: <TASK> kvm_arch_vcpu_destroy+0x72/0x2f0 arch/x86/kvm/x86.c:11123 kvm_vcpu_destroy arch/x86/kvm/../../../virt/kvm/kvm_main.c:441 [inline] kvm_destroy_vcpus+0x11f/0x290 arch/x86/kvm/../../../virt/kvm/kvm_main.c:460 kvm_free_vcpus arch/x86/kvm/x86.c:11564 [inline] kvm_arch_destroy_vm+0x2e8/0x470 arch/x86/kvm/x86.c:11676 kvm_destroy_vm arch/x86/kvm/../../../virt/kvm/kvm_main.c:1217 [inline] kvm_put_kvm+0x4fa/0xb00 arch/x86/kvm/../../../virt/kvm/kvm_main.c:1250 kvm_vm_release+0x3f/0x50 arch/x86/kvm/../../../virt/kvm/kvm_main.c:1273 __fput+0x286/0x9f0 fs/file_table.c:311 task_work_run+0xdd/0x1a0 kernel/task_work.c:164 exit_task_work include/linux/task_work.h:32 [inline] do_exit+0xb29/0x2a30 kernel/exit.c:806 do_group_exit+0xd2/0x2f0 kernel/exit.c:935 get_signal+0x4b0/0x28c0 kernel/signal.c:2862 arch_do_signal_or_restart+0x2a9/0x1c40 arch/x86/kernel/signal.c:868 handle_signal_work kernel/entry/common.c:148 [inline] exit_to_user_mode_loop kernel/entry/common.c:172 [inline] exit_to_user_mode_prepare+0x17d/0x290 kernel/entry/common.c:207 __syscall_exit_to_user_mode_work kernel/entry/common.c:289 [inline] syscall_exit_to_user_mode+0x19/0x60 kernel/entry/common.c:300 do_syscall_64+0x42/0xb0 arch/x86/entry/common.c:86 entry_SYSCALL_64_after_hwframe+0x44/0xae </TASK>