El trabajo de virtualización de Xen para el kernel de Linux 5.10 gira en torno a la seguridad.
La semana pasada trajeron las actualizaciones iniciales de Xen para la ventana de fusión de Linux 5.10, que consistió principalmente en correcciones. Sin embargo, el principal cambio a señalar fue una solución temporal para permitir que los invitados de Xen en ARM funcionaran con el aislamiento de tabla de página del kernel (KPTI) habilitado. Todavía se está trabajando en una solución a más largo plazo para el soporte de Xen en entornos ARM habilitados para KPTI.
La solución está en torno al hipercall VCPUOP_register_runstate_memory_area que, en los invitados protegidos por KPTI, se les pasaría una dirección virtual no válida, por lo que la solución a corto plazo es simplemente evitar esa llamada. ARM se basa en Kernel Page Table Isolation como parte de su mitigación contra la vulnerabilidad Meltdown en los procesadores ARM Cortex afectados, similar al uso más conocido en los procesadores Intel.
Ahora esta semana es otro tirón de los cambios de Xen y se centran en la seguridad. Existe una solución para un problema de seguridad de Xen en el que invitados malintencionados podrían causar una denegación de servicio para Dom0 al activar la eliminación de referencias de puntero nulo o el acceso a datos obsoletos.
También hay una serie de parches más grande en este tirón para los invitados malintencionados que pueden causar una denegación de servicio de Dom0 enviando eventos a una frecuencia alta que abrumarían el manejo de IRQ.
Fuente: phoronix