
<html xmlns:v="urn:schemas-microsoft-com:vml" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:w="urn:schemas-microsoft-com:office:word" xmlns:m="http://schemas.microsoft.com/office/2004/12/omml" xmlns="http://www.w3.org/TR/REC-html40">


<head>


<meta http-equiv="Content-Type" content="text/html; charset=utf-8">


<meta name="Generator" content="Microsoft Word 15 (filtered medium)">


<style><!--


/* Font Definitions */


@font-face


        {font-family:"Cambria Math";


        panose-1:2 4 5 3 5 4 6 3 2 4;}


@font-face


        {font-family:Calibri;


        panose-1:2 15 5 2 2 2 4 3 2 4;}


/* Style Definitions */


p.MsoNormal, li.MsoNormal, div.MsoNormal


        {margin:0cm;


        margin-bottom:.0001pt;


        font-size:12.0pt;


        font-family:"Times New Roman",serif;}


a:link, span.MsoHyperlink


        {mso-style-priority:99;


        color:blue;


        text-decoration:underline;}


a:visited, span.MsoHyperlinkFollowed


        {mso-style-priority:99;


        color:purple;


        text-decoration:underline;}


span.im


        {mso-style-name:im;}


span.EmailStyle18


        {mso-style-type:personal-reply;


        font-family:"Calibri",sans-serif;


        color:#1F497D;}


.MsoChpDefault


        {mso-style-type:export-only;


        font-family:"Calibri",sans-serif;


        mso-fareast-language:EN-US;}


@page WordSection1


        {size:612.0pt 792.0pt;


        margin:72.0pt 72.0pt 72.0pt 72.0pt;}


div.WordSection1


        {page:WordSection1;}


--></style><!--[if gte mso 9]><xml>


<o:shapedefaults v:ext="edit" spidmax="1026" />


</xml><![endif]--><!--[if gte mso 9]><xml>


<o:shapelayout v:ext="edit">


<o:idmap v:ext="edit" data="1" />


</o:shapelayout></xml><![endif]-->


</head>


<body lang="EN-GB" link="blue" vlink="purple">


<div class="WordSection1">


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">I had understood that CentOS 7.1 qemu-kvm has RBD support built-in. It was not there on 7.0 but


<a href="http://tracker.ceph.com/issues/10480">http://tracker.ceph.com/issues/10480</a> implies it is in 7.1.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">You could check on the centos mailing lists to be sure.<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US">Tim<o:p></o:p></span></p>


<p class="MsoNormal"><span style="font-size:11.0pt;font-family:"Calibri",sans-serif;color:#1F497D;mso-fareast-language:EN-US"><o:p> </o:p></span></p>


<div style="border:none;border-left:solid blue 1.5pt;padding:0cm 0cm 0cm 4.0pt">


<div>


<div style="border:none;border-top:solid #E1E1E1 1.0pt;padding:3.0pt 0cm 0cm 0cm">


<p class="MsoNormal"><b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif">From:</span></b><span lang="EN-US" style="font-size:11.0pt;font-family:"Calibri",sans-serif"> Cynthia Lopes [mailto:clsacramento@gmail.com]


<br>


<b>Sent:</b> 02 June 2015 10:57<br>


<b>To:</b> Sławek Kapłoński<br>


<b>Cc:</b> openstack-operators@lists.openstack.org<br>


<b>Subject:</b> Re: [Openstack-operators] Venom vulnerability<o:p></o:p></span></p>


</div>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">Hi guys,<o:p></o:p></p>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">I had to recompile qemu-kvm on CentOS7 to enable RBD and be able to use CEPH. <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">Now, what is the best to update for venom vulnerability? <o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">Has anyone already recompiled the patched sources and put it in a repository, or the only way is to get the knew sources and recompile again ?<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">In <a href="http://vault.centos.org/">http://vault.centos.org/</a> les sources don't seen to have been updated yet, where will I find them to recompile if it is the way to go?<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Thanks a lot!<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


<div>


<p class="MsoNormal">Regards,<o:p></o:p></p>


</div>


<div>


<p class="MsoNormal">Cynthia<o:p></o:p></p>


</div>


</div>


<div>


<p class="MsoNormal"><o:p> </o:p></p>


<div>


<p class="MsoNormal">2015-05-14 23:45 GMT+02:00 Sławek Kapłoński <<a href="mailto:slawek@kaplonski.pl" target="_blank">slawek@kaplonski.pl</a>>:<o:p></o:p></p>


<blockquote style="border:none;border-left:solid #CCCCCC 1.0pt;padding:0cm 0cm 0cm 6.0pt;margin-left:4.8pt;margin-right:0cm">


<p class="MsoNormal" style="margin-bottom:12.0pt">Hello,<br>


<br>


Ok, thx for explanations :) Yep, I know that best is to restart qemu<br>


process but this makes that I can now sleep littlebit more peacefully :)<br>


<br>


<span class="im">--</span><br>


<span class="im">Best regards / Pozdrawiam</span><br>


<span class="im">Sławek Kapłoński</span><br>


<span class="im"><a href="mailto:slawek@kaplonski.pl">slawek@kaplonski.pl</a></span><o:p></o:p></p>


<div>


<div>


<p class="MsoNormal">On Thu, May 14, 2015 at 05:38:56PM -0400, Favyen Bastani wrote:<br>


> On 05/14/2015 05:23 PM, Sławek Kapłoński wrote:<br>


> > Hello,<br>


> ><br>


> > So if I understand You correct, it is not so dangeorus if I'm using<br>


> > ibvirt with apparmor and this libvirt is adding apparmor rules for<br>


> > every qemu process, yes?<br>


> ><br>


> ><br>


><br>


> You should certainly verify that apparmor rules are enabled for the qemu<br>


> processes.<br>


><br>


> Apparmor reduces the danger of the vulnerability. However, if you are<br>


> assuming that virtual machines are untrusted, then you should also<br>


> assume that an attacker can execute whatever operations permitted by the<br>


> apparmor rules (mostly built based on abstraction usually at<br>


> /etc/apparmor.d/libvirt-qemu); so you should check that you have<br>


> reasonable limits on those permissions. Best is to restart the processes<br>


> by way of live migration or otherwise.<br>


><br>


> Best,<br>


> Favyen<br>


<br>


_______________________________________________<br>


OpenStack-operators mailing list<br>


<a href="mailto:OpenStack-operators@lists.openstack.org">OpenStack-operators@lists.openstack.org</a><br>


<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-operators</a><o:p></o:p></p>


</div>


</div>


</blockquote>


</div>


<p class="MsoNormal"><o:p> </o:p></p>


</div>


</div>


</div>


</body>


</html>