CVE-2024-53135

Versões do kernel Linux anteriores à 6.6.65

O problema diz respeito à implementação do KVM no kernel do Linux, especificamente com a virtualização Intel PT nos modos convidado/host. Existem vários bugs na implementação, alguns dos quais podem ser fatais para o convidado e outros que colocam em risco a estabilidade e a integridade do host. O problema mais significativo é que o KVM não garante que o rastreamento esteja desativado antes do VM-Enter, o que é necessário para que o hardware carregue o RTIT CTL do convidado. Além disso, o KVM não valida a configuração do CPUID do convidado fornecida pelo espaço do usuário e usa essa configuração para decidir quais MSRs salvar/carregar no VM-Enter e no VM-Exit. Isso pode levar o KVM a tentar passar, salvar e carregar MSRs inexistentes, resultando em vários avisos e possíveis deadlocks.

Para resolver o problema, atualize o kernel do Linux para a versão 6.6.65 ou posterior.

Como solução alternativa temporária, considere desativar a virtualização Intel PT no modo convidado/host até que um patch esteja disponível.

Restrinja o acesso ao módulo KVM para minimizar o risco de exploração.

Evite configurar o CPUID do convidado para enumerar mais intervalos de endereços do que os suportados pelo hardware até que o problema seja resolvido.