Jaderné noviny – 5. 1. 2012: Bezpečnostní problémy s předáváním SCSI povelů

16. 1. 2012 | Luboš Doležel | Jaderné noviny | 3041×

Obsah

• Aktuální verze jádra: 3.2(-rc7)
• Citáty týdne: Andrew Morton, Linus Torvalds, Neil Brown
• Plánovač I/O na bázi IOPS
• Překračování práv skrze předávání povelů SCSI

Aktuální verze jádra: 3.2(-rc7)

Aktuální vývojová verze jádra je 3.2-rc7 vydaná 23. prosince. Konečná verze 3.2 by měla vyjít každou chvíli, Linus asi čeká, než vyjdou Jaderné noviny.

Změna: k vydání verze 3.2 došlo přesně tak, jak jsme čekali.

Stabilní vydání: verze 2.6.32.52, 3.0.15 a 3.1.7 vyšly 3. ledna; obsahují jen jednu opravu problému s obnovou po uspání, na což někteří uživatelé naráželi. Aktualizace 2.6.32.53, 3.0.16 a 3.1.8 se aktuálně revidují.

Citáty týdne: Andrew Morton, Linus Torvalds, Neil Brown

Už jsme se dostali za hranici, kdy by jakékoliv další komplikování jádra mělo být považováno za regresi.

-- Andrew Morton

Bylo by hezké, kdyby jaderní vývojáři pochopili, že GFP_KERNEL je silně preferováno a měli by se snažit o jeho užívání. Ale lidé mají tendenci dostávat se do úzkých a pak z toho vybruslit tou nejsnazší cestou, což vede k méně robustnímu kódu. Třeba by jim to při volání funkce alloc_percpu_jsem_uplna_nula() došlo.

-- Andrew Morton

Ale vývojová jádra jsou přece jen mnohem zajímavější než ta nudná stabilní. Máte tam nové a vzrušující funkce a máte aspoň pocit, že si tak trochu zahráváte, namísto vrtání se v operačním systému vaší babičky. Plazím na tebe jazyk, Gregu.

-- Linus Torvalds

Když to všechno zvážím, tak si nemyslím, že je užitečné mít za cíl „aby Android používal jádro z hlavní řady“ – to se nikdy nestane. Spíš bychom se měli soustředit hlavně na to, „aby bylo *možné* spustit uživatelský prostor Androidu na jádře z hlavní řady“.

-- Neil Brown

Plánovač I/O na bázi IOPS

Plánovače I/O mají na starosti seřazování blokových I/O operací tak, aby se maximalizovala propustnost zařízení, a dále snad i implementaci pravidel systému, jak má být dostupná šířka pásma přidělována. Aktuálně používané linuxové plánovače byly navrhovány s ohledem na disky s pohyblivými částmi s tím výsledkem, že se snaží vyhýbat ježdění diskových hlaviček a sledují počty přenesených bajtů. U SSD je ale umístění při I/O (téměř) irelevantní a za lepší měřítko využité kapacity zařízení se považuje objem I/O operací. Jaderný plánovač CFQ byl rozvíjen tak, aby s SSD pracoval lépe, ale všichni se shodnou na tom, že zbývá ještě dost práce.

Shaohua Li na to šel jinak a zaslal nový plánovač I/O, který je optimalizován pro SSD. Patch rozčleňuje a zobecňuje kód CFQ, který sleduje využití zařízení, ale následně tento kód používá k implementaci odlišného algoritmu. Už nejde o to vyhnout se skákání po disku; nejde ani o počet přenesených bajtů. Místo toho tento plánovač jednoduše sleduje počet I/O operací od každého uživatele a snaží se tyto počty vyrovnávat.

Výsledkem by měl být jednodušší plánovač, který je pro SSD vhodnější. V současnosti to ale nelze říci s jistotou. Jedním z pravidel pro zasílání jaderných patchů je to, že patche zaměřené na výkon by měl doprovázet výsledek testů, jenž by prokázal, že cíle bylo dosaženo. Tento patch takové výsledky u sebe neměl, tudíž nikdo neví, jestli stojí za to se kódem dále zabývat, nebo ne. Příští verze snad tuto informaci obsaženu mít bude a tehdy se budeme moci začít bavit, jaké jsou přednosti nového plánovače.

Překračování práv skrze předávání povelů SCSI

Jednou z důležitých vlastností virtualizace je poskytnutí úplné izolace virtuálních strojů, aby útočník (nebo chyba) v jednom VM nemohl mít vliv na další VM. Ale jak nedávné hlášení chyby ukázalo, jádro má slabinu, kdy při určitém nastavení jedno VM může číst a zapisovat na disky jiných VM. To je bezpochyby vážný bezpečnostní problém, ale diskuze o patchích, které by tuto chybu opravily, ukazují, že zařazení opravy chvíli potrvá.

K problému dochází, když programy pošlou SG_IO ioctl() přes předávání SCSI [SCSI pass-through] konkrétnímu diskovému oddílu (např. /dev/sdb2) nebo jednotce LVM, což zapříčiní poslání SCSI povelu nadřazenému blokovému zařízení (/dev/sdb). Příkazy, které lze přes SG_IO zařízení zaslat, jsou u procesů bez práva CAP_SYS_RAWIO filtrovány, ale dají se přesto dělat nebezpečné operace. Zejména pak jde o to, že pokud proces může zapisovat na oddíl, může pak zapisovat na nadřazené zařízení, aniž by byl omezen hranicemi tohoto oddílu.

U virtuálních strojů, kde jsou oddíly nebo jednotky různých VM na stejném blokovém zařízení, to pak znamená, že virtuální stroj může přistupovat – a měnit – data na disku jiného VM. A může být ještě hůř – pokud má hostitelský systém svá vlastní data na tomto disku, zlý VM by jej mohl teoreticky kompromitovat. K využití této zranitelnosti není nutná virtualizace (nebo kontejnery), ale je to nejpravděpodobnější situace. Jakýkoliv proces, který může otevřít oddíl, pak může vykonat ioctl(), ale na „běžném“ linuxovém systému má tuto schopnost typicky jen root.

V listopadu 2011 odhalil tento problém Paolo Bonzini na základě hlášení chyby, ale bezpečnostní problémy spojené s SG_IO byly objeveny už v srpnu 2004. Na konci prosince zaslal Bonzini patche, které by měly problém opravit (i když to vypadá, že se záležitost mezitím diskutovala na uzavřeném bezpečnostním mailing listu). Navrhovaná oprava by zakázala většinu povelů SCSI na zařízeních „oddílového typu“. Takže volání „nebezpečných“ SCSI povelů by selhalo, pokud ioctl() nebylo zavoláno na nadřazeném blokovém zařízení.

Patche vyvolaly pár komentářů ze strany Linuse Torvaldse, zejména ohledně vracených chybových kódů (hlavně proto, že ENOTTY moc nemá dobré jméno na tomu, aby indikovalo „ioctl neexistuje“). Ale kromě toho začal váhat, jestli náhodou neexistují situace, kdy uživatelé opravdu posílají SCSI příkazy oddílu a očekávají, že budou předány blokovému zařízení. Vypadá to, že je tu alespoň jedno místo, kdy může jít o běžnou věc: „vysouvání“ USB disků a dalších výměnných disků. Torvalds poznamenal:

Podle Bonziniho skutečnost, že CDROMEJECT selže na jádře s ním navrhovanou opravou, neznamená v reálu žádné problémy. Ale Torvaldsovy obavy se neomezují jen na tento příklad. Oprava byla navržena k začlenění v pozdějších fázích vývojového cyklu jádra 3.2 a jeho obavou bylo to, jak moc byla tato věc testována: Rozhodně nemám ten pocit, že to bylo tak důkladně testováno a že zde není riziko, že by se něco mohlo rozbít. Na základě této diskuze to vypadá, že testování bylo zaměřeno na ověřování, že byla odstraněna bezpečnostní chyba, aniž by se bralo v úvahu, jaký další – docela dalekosáhlý – dopad to může mít.

Torvalds by byl jistě rád, aby byla zranitelnost opravena, ale rozhodně ne za cenu regrese v něčem, na co si uživatelé zvykli. Jak zdůraznil: Nemůžeme bez důkladného testování jen tak najednou úplně něco změnit a říkat, že 'tohle nemůžete s oddílem dělat', když to lidé jednoznačně s oddíly dělají. Jeho plánem je počkat na začleňovací okno jádra 3.3, což by mělo dát distribucím a ostatním čas na testování, aby se prověřilo, že tento kód nemá nějaký nechtěný vedlejší účinek.

Ačkoliv je důležité bezpečnostní nedostatky opravovat, je neméně důležité zajistit, aby všechno i nadále fungovalo, což je podstatou Linusových obav. I když vývojový cyklus jádra 3.3 stále nemusí stačit na to, aby se opravila všechna místa, kde se předávání SCSI používá na neúplných discích (oddílech a logických jednotkách), určitě k tomu bude lepší příležitost, než jaká by byla v konečných fázích vývojového cyklu verze 3.2. Do té doby mohou obezřetní administrátoři aplikovat tento patch nebo jiným způsobem problém řešit, když už jsou popis chyby i patch veřejně k dispozici.

Nástroje: Tisk bez diskuse