9月23日，XEN官方來(lái)了個(gè)帽子戲法，一口吻爆出3個(gè)裂痕。隨后，就有關(guān)于亞馬遜AWS大局限重啟處事器的動(dòng)靜爆出。這次重啟事件豈論是影響到的產(chǎn)物、照舊一連的時(shí)間都是史無(wú)前例的，整個(gè)修復(fù)周期一連5天，從9月25日下午7點(diǎn)到9月30日下午5點(diǎn)，影響的產(chǎn)物包羅EC2、RDS、ElastiCache、RedShift，個(gè)中EC2最為嚴(yán)重，約莫占到AWS EC2總量的10%.由于是產(chǎn)生在美國(guó)，所以海內(nèi)這塊的報(bào)道較少，許多同學(xué)大概還不知道是什么裂痕，讓亞馬遜做如此大范疇的重啟操縱。下面我們一塊看看這三兄弟到底是啥來(lái)頭。

這次的三個(gè)裂痕，危害有哪些？

1、CVE-2014-7154這個(gè)可以說(shuō)是三兄弟中的老大，為何？因?yàn)樗谝ξ恢糜腥耍驗(yàn)樗系莇om0.dom0在XEN架構(gòu)中的職位很是重要，它包括節(jié)制硬件的驅(qū)動(dòng)和節(jié)制虛擬機(jī)的東西集。所以它會(huì)影響到整個(gè)物理機(jī)上面所有的虛擬機(jī)，這樣的裂痕是最可怕的，波及范疇廣，修補(bǔ)起來(lái)又需要重啟，那就得業(yè)務(wù)間斷啊，尚有，假如重啟起不來(lái)咋辦？？

2、CVE-2014-7155這個(gè)可以排行老二，客戶機(jī)可以操作該裂痕加載本身的IDT或GDT，大概導(dǎo)致虛擬機(jī)的宕機(jī)，還可以獲取root權(quán)限。看到這里我們也不要太張皇，因?yàn)檫@里不是虛擬機(jī)逃逸，而是獲取虛擬機(jī)的root權(quán)限。危害也不小，“黑闊”又多了一個(gè)提權(quán)利器。

3、CVE-2014-7156與上述那倆暮年邁比起來(lái)，就個(gè)裂痕危害就要差一些了。操作該裂痕，大概導(dǎo)致虛擬機(jī)的宕機(jī)，但宕機(jī)也不是小事，不容小覷，只是生不逢時(shí)。

神馬是XEN？

在舉辦技能闡明之前，我們先相識(shí)一下關(guān)于XEN的配景常識(shí)。

VMware各人都很熟悉了，無(wú)論是WorkStation照舊企業(yè)級(jí)的ESX，XEN就是雷同于ESX的一個(gè)軟件，不外是開源的（雷同的尚有KVM）。此刻KVM已經(jīng)是Linux官方插手到內(nèi)核中的虛擬化技能。

XEN最早由劍橋大學(xué)開拓，此刻被Citrix收購(gòu)，亞馬遜的AWS就是基于XEN技能的。

通過(guò)下圖我們來(lái)相識(shí)下XEN技能架構(gòu)：

從上面可以看出，XEN hypervisor直接運(yùn)行在硬件之上，認(rèn)真處理懲罰CPU、內(nèi)存、間斷等。它是運(yùn)行完bootloader之后第一個(gè)運(yùn)行的措施。在hypervisor之上答允虛擬機(jī)，在XEN內(nèi)里，一個(gè)虛擬機(jī)實(shí)例被稱為domain可能guest.個(gè)中，domain0是一個(gè)非凡的domain，它包括所有節(jié)制硬件的驅(qū)動(dòng)，同時(shí)包括節(jié)制打點(diǎn)虛擬機(jī)的東西集。

除了domain0之外，其它的虛擬機(jī)就是我們熟悉的guest，大抵分為兩種范例：Paravirtualization（PV）半虛擬化 和 Full Virtualization（HVM）全虛擬化。

PV是由XEN引入的，厥后被其它虛擬化平臺(tái)回收。半虛擬化是一種高效、輕量的虛擬化技能，它不需要物理機(jī)CPU含有虛擬化擴(kuò)展，但卻需要一個(gè)Xen-PV-enabled內(nèi)核和PV驅(qū)動(dòng)，說(shuō)白了就是需要修改虛機(jī)系統(tǒng)的內(nèi)核，虧得Linux、BSD、OpenSolaris等提供了該內(nèi)核，可是Windows就不可了，因?yàn)橹挥形④浛梢孕薷乃膬?nèi)核。

HVM利用了物理機(jī)CPU的虛擬化擴(kuò)展來(lái)虛擬出虛擬機(jī)。該技能需要Intel VT可能AMD-V硬件擴(kuò)展。Xen利用Qemu來(lái)仿真PC硬件，包羅BIOS、IDE硬盤節(jié)制器、VGA、USB節(jié)制器、網(wǎng)卡等等。由于利用虛擬機(jī)硬件擴(kuò)展來(lái)提高仿真機(jī)能，所以HVM不需要修改內(nèi)核，因此其上可以運(yùn)行Windows系統(tǒng)。

技能揭秘

此刻我們大抵相識(shí)了這三裂痕有啥危害了，下面我們隨著官方的裂痕告示和補(bǔ)丁文件，來(lái)詳細(xì)闡明下這些裂痕。

1、CVE-2014-7154

CVE-2014-7154說(shuō)的是在HVMOP_track_dirty_vram內(nèi)里存在竟態(tài)條件，HVMOP_track_dirty_vram是一個(gè)用來(lái)節(jié)制臟顯存跟蹤配置的函數(shù)。下面是官方給出的補(bǔ)丁：

p2m_type_t t；- struct sh_dirty_vram *dirty_vram = d->arch.hvm_domain.dirty_vram；+ struct sh_dirty_vram *dirty_vram；struct p2m_domain *p2m = p2m_get_hostp2m（d）；

if （ end_pfn < begin_pfn || end_pfn > p2m->max_mapped_pfn + 1 ）

@@ -3495，6 +3495，8 @@ int shadow_track_dirty_vram（struct domai p2m_lock（p2m_get_hostp2m（d））；paging_lock（d）；

+ dirty_vram = d->arch.hvm_domain.dirty_vram；+ if （ dirty_vram && （！nr ||

從補(bǔ)丁中可以看出，在沒(méi)有打補(bǔ)丁的代碼里，系統(tǒng)在獲取paging_lock之前，已經(jīng)獲取到了dirty_vram的值。這里有一個(gè)潛在的問(wèn)題，兩個(gè)并發(fā)的hypercall會(huì)實(shí)驗(yàn)同時(shí)釋放dirty_vram，那么兩者中，第二個(gè)實(shí)驗(yàn)舉辦釋放的是一個(gè)野指針。別的，兩個(gè)并發(fā)的hypercall也大概會(huì)實(shí)驗(yàn)同時(shí)建設(shè)一個(gè)新的dirty_vram布局體，那么最先建設(shè)的那塊內(nèi)存會(huì)泄漏，因?yàn)榈诙€(gè)dirty_vram建設(shè)之后，兩個(gè)指針都指向新的dirty_vram布局體。

所以修補(bǔ)起來(lái)也很簡(jiǎn)樸，就是將獲取d->arch.hvm_domain.dirty_vram的值放到獲取了paging_lock之后。