cve-2024-4467

[TheMrg]

ist proxmox betroffen?
https://access.redhat.com/security/cve/cve-2024-4467
welche auswirkungen hat dies? kann dies AUS einem Container (LXC) oder einer VM heraus genutzt werden?
oder von einem User per GUI (user hat nur PVEVMUser permissions)?

danke.

 

[fiona]

Hi,
soweit ich das sehe, kann dies nur Probleme machen, wenn eine manipulierte qcow2 Image-Datei auf das System gelangt und einer VM in Proxmox VE untergejubelt wird. Da qcow2 Images normalerweise von Proxmox VE selbst erstellt werden, ist dies kein Problem. Natürlich kann es bei händischem Import (möglich nur über die CLI als root) eines Images passieren, aber deswegen holt man sich diese ja aus vertrauenswürdigen Quellen.

Aus einer VM oder Container heraus kann kein Kommando ausgeführt werden, das eine solche Datei auf dem Host erstellt.

 

[TheMrg]

Sehen wir auch so.
Der user hat ja keine möglichkeit eine qcow2 zu laden (zb als disk) in seine VM um so auf dem Host Daten lesen/schreiben zu können über die Lücke
Danke soweit.

 

[fiona]

Ein Backport vom Fix wurde trotzdem schon gemacht: https://git.proxmox.com/?p=pve-qemu.git;a=commit;h=b242e7f196acf53ef57a4a51539e4800a6e53cb4