<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta name="Generator" content="Microsoft Word 15 (filtered medium)">
<style><!--
/* Font Definitions */
@font-face
        {font-family:"Cambria Math";
        panose-1:2 4 5 3 5 4 6 3 2 4;}
@font-face
        {font-family:Calibri;
        panose-1:2 15 5 2 2 2 4 3 2 4;}
/* Style Definitions */
p.MsoNormal, li.MsoNormal, div.MsoNormal
        {margin:0cm;
        margin-bottom:.0001pt;
        font-size:12.0pt;
        font-family:"Times New Roman",serif;}
a:link, span.MsoHyperlink
        {mso-style-priority:99;
        color:blue;
        text-decoration:underline;}
a:visited, span.MsoHyperlinkFollowed
        {mso-style-priority:99;
        color:purple;
        text-decoration:underline;}
span.im
        {mso-style-name:im;}
span.EmailStyle18
        {mso-style-type:personal-reply;
        font-family:"Calibri",sans-serif;
        color:#1F497D;}
.MsoChpDefault
        {mso-style-type:export-only;
        font-family:"Calibri",sans-serif;
        mso-fareast-language:EN-US;}
@page WordSection1
        {size:612.0pt 792.0pt;
        margin:72.0pt 72.0pt 72.0pt 72.0pt;}
div.WordSection1
        {page:WordSection1;}
--></style><!--[if gte mso 9]><xml>
<o:shapedefaults v:ext="edit" spidmax="1026" />
</xml><![endif]--><!--[if gte mso 9]><xml>
<o:shapelayout v:ext="edit">
<o:idmap v:ext="edit" data="1" />
</o:shapelayout></xml><![endif]-->
</head>
<body lang="EN-GB" link="blue" vlink="purple">
<div class="WordSection1">
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">I had understood that CentOS 7.1 qemu-kvm has RBD support built-in. It was not there on 7.0 but
<a href="http://tracker.ceph.com/issues/10480">http://tracker.ceph.com/issues/10480</a> implies it is in 7.1.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">You could check on the centos mailing lists to be sure.<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Tim<o:p></o:p></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>
<div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt">
<div>
<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">
<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Cynthia Lopes [mailto:clsacramento@gmail.com]
<br>
<b>Sent:</b> 02 June 2015 10:57<br>
<b>To:</b> Sławek Kapłoński<br>
<b>Cc:</b> openstack-operators@lists.openstack.org<br>
<b>Subject:</b> Re: [Openstack-operators] Venom vulnerability<o:p></o:p></span></p>
</div>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">Hi guys,<o:p></o:p></p>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">I had to recompile qemu-kvm on CentOS7 to enable RBD and be able to use CEPH. <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Now, what is the best to update for venom vulnerability? <o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Has anyone already recompiled the patched sources and put it in a repository, or the only way is to get the knew sources and recompile again ?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">In <a href="http://vault.centos.org/">http://vault.centos.org/</a> les sources don't seen to have been updated yet, where will I find them to recompile if it is the way to go?<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Thanks a lot!<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
<div>
<p class="MsoNormal">Regards,<o:p></o:p></p>
</div>
<div>
<p class="MsoNormal">Cynthia<o:p></o:p></p>
</div>
</div>
<div>
<p class="MsoNormal"><o:p> </o:p></p>
<div>
<p class="MsoNormal">2015-05-14 23:45 GMT+02:00 Sławek Kapłoński <<a href="mailto:slawek@kaplonski.pl" target="_blank">slawek@kaplonski.pl</a>>:<o:p></o:p></p>
<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">
<p class="MsoNormal" style="margin-bottom:12.0pt">Hello,<br>
<br>
Ok, thx for explanations :) Yep, I know that best is to restart qemu<br>
process but this makes that I can now sleep littlebit more peacefully :)<br>
<br>
<span class="im">--</span><br>
<span class="im">Best regards / Pozdrawiam</span><br>
<span class="im">Sławek Kapłoński</span><br>
<span class="im"><a href="mailto:slawek@kaplonski.pl">slawek@kaplonski.pl</a></span><o:p></o:p></p>
<div>
<div>
<p class="MsoNormal">On Thu, May 14, 2015 at 05:38:56PM -0400, Favyen Bastani wrote:<br>
> On 05/14/2015 05:23 PM, Sławek Kapłoński wrote:<br>
> > Hello,<br>
> ><br>
> > So if I understand You correct, it is not so dangeorus if I'm using<br>
> > ibvirt with apparmor and this libvirt is adding apparmor rules for<br>
> > every qemu process, yes?<br>
> ><br>
> ><br>
><br>
> You should certainly verify that apparmor rules are enabled for the qemu<br>
> processes.<br>
><br>
> Apparmor reduces the danger of the vulnerability. However, if you are<br>
> assuming that virtual machines are untrusted, then you should also<br>
> assume that an attacker can execute whatever operations permitted by the<br>
> apparmor rules (mostly built based on abstraction usually at<br>
> /etc/apparmor.d/libvirt-qemu); so you should check that you have<br>
> reasonable limits on those permissions. Best is to restart the processes<br>
> by way of live migration or otherwise.<br>
><br>
> Best,<br>
> Favyen<br>
<br>
_______________________________________________<br>
OpenStack-operators mailing list<br>
<a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><o:p></o:p></p>
</div>
</div>
</blockquote>
</div>
<p class="MsoNormal"><o:p> </o:p></p>
</div>
</div>
</div>
</body>
</html>