«Базис» и ИСП РАН, при содействии «Фобос‑НТ», выявили уязвимости в известном программном обеспечении для виртуализации с открытым исходным кодом.

Главное:

• Специалисты «Базис» и ИСП РАН выявили 191 дефектов в open source ПО для виртуализации.
• Основное внимание уделено библиотеке libvirt, критичной для безопасности виртуальных машин.
• Были разработаны 86 исправлений для популярных проектов, множество из которых уже внедрено.

Обнаруженные уязвимости в open source ПО

Недавние тестирования, проведенные в сотрудничестве специалистов компании «Базис», Института системного программирования РАН и испытательной лаборатории «Фобос‑НТ», привели к обнаружению серьезных дефектов в компонентах open source решений для виртуализации. Из 191 найденного дефекта многие расценены как потенциальные уязвимости. Эти результаты подчеркивают важность регулярного и глубокого анализа используемого программного обеспечения, особенно в области информационной безопасности.

Фокус на библиотеку libvirt

В данном исследовании особое внимание было уделено библиотеке libvirt, которая предоставляет API для управления виртуальными машинами. Выявленные дефекты касаются критичных функций обработки инструкций, потенциально получаемых из конфигурационных файлов. Например, ошибок, связанных с переполнением буфера, что может привести к утечке конфиденциальной информации и срывам в работе инфраструктуры. Это служит напоминанием о важности безопасного программирования и необходимости регулярного тестирования кода, особенно в компонентах, которые поддерживают платформы виртуализации.

Внедрение исправлений и последующие шаги

Согласно проведенным исследованиям, статический анализ выявил 178 дефектов, из которых 86 исправлений были быстро приняты в основные ветки разработки open source проектов, таких как ActiveMQ Artemis и Apache Directory. Кроме того, фаззинг-тестирование добавило дополнительные 13 дефектов, 8 из которых нашли в libvirt. Все эти результаты подтверждают необходимость активной работы по исправлению недостатков и постоянному мониторингу безопасности используемого ПО. Критически важно, чтобы разработчики открытого ПО продолжали внедрять новые методы анализа и оценки безопасности, обеспечивая надежность своих решений для пользователей по всему миру.