Hyperisor Xen čelí třetí vysoce kritické únikové chybě VM za 10 měsíců

Projekt Xen ve svém široce používaném hypervisoru opravil tři chyby zabezpečení, které by mohly operačním systémům běžícím ve virtuálních strojích umožnit přístup k paměti hostitelských systémů, čímž mezi nimi prolomí kritickou bezpečnostní vrstvu.

Dvě z opravených chyb zabezpečení lze zneužít pouze za určitých podmínek, což omezuje jejich použití v potenciálních útocích, ale jedna je vysoce spolehlivá vada, která představuje vážnou hrozbu pro multitenantová datová centra, kde virtualizované servery zákazníků sdílejí stejný základní hardware.

Nedostatky zatím nemají sledovací čísla CVE, ale jsou zahrnuty ve třech bezpečnostních radách Xen zvaných XSA-213, XSA-214 a XSA-215.

„XSA-213 je v Xenu fatální, spolehlivě využitelná chyba,“ řekl bezpečnostní tým Qubes OS, operačního systému, který izoluje aplikace uvnitř virtuálních strojů Xen. "V téměř osmileté historii projektu Qubes OS jsme si byli vědomi čtyř chyb tohoto kalibru: XSA-148, XSA-182, XSA-212 a nyní XSA-213."

Z těchto čtyř vysoce kritických a snadno zneužitelných zranitelných míst byly nalezeny a opraveny tři chyby za posledních 10 měsíců a dvě za poslední měsíc - XSA-182 byla opravena v červenci 2016, XSA-212 v dubnu a XSA-213 v úterý.

Další společností je, že všichni ovlivnili virtualizaci paměti Xen pro paravirtualizované (PV) VM. Xen podporuje dva typy virtuálních strojů: Hardwarové virtuální stroje (HVM), které používají hardwarovou virtualizaci, a paravirtualizované virtuální počítače, které používají softwarovou virtualizaci.

Další dvě nedostatky opravené v úterý, XSA-214 a XSA-215, také ovlivňují paravirtualizované VM. Rozdíl je v tom, že XSA-214 vyžaduje, aby dva škodlivé hostující virtuální počítače spolupracovaly, aby získaly přístup k systémové paměti, zatímco XSA-215 ovlivňuje pouze „systémy x86 s fyzickou pamětí, které se rozšiřují na hranici závislou na konfiguraci 5TB nebo 3,5TB.“

Jedním omezením pro XSA-213 je to, že může být využito pouze u 64-bitových PV hostů, takže systémy, které provozují pouze HVM nebo 32-bitové PV hosty, nejsou ovlivněny..

Vývojáři Xenu vydali opravy pro Xen 4.8.x, Xen 4.7.x, Xen 4.6.xa Xen 4.5.x, které lze ručně použít na postižené systémy.

Hypervisor s otevřeným zdrojovým kódem Xen používá mnoho poskytovatelů cloud computingu a hostitelských společností virtuálního soukromého serveru (VPS), z nichž někteří dostali záplaty předem a byli nuceni naplánovat prostoje údržby.

Například poskytovatel VPS Linode musel restartovat některé ze svých starších hostitelů Xen PV, aby použil opravu a doporučil zákazníkům, aby se přestěhovali na své servery založené na HVM, aby se vyhnuli budoucím prostojům.

Společnost Amazon Web Services mezitím uvedla, že data a instance jejích zákazníků nebyly těmito zranitelnostmi ovlivněny a nebyla nutná žádná akce zákazníka.

Tým Qubes OS, který se pyšní stavbou jednoho z nejbezpečnějších stolních operačních systémů, měl dost času na to, aby se opakovaně zabýval zranitelnostmi Xen PV. To je důvod, proč za posledních 10 měsíců přinesla další práci na přepnutí další verze operačního systému - Qubes 4.0 - na HVM..

"Původně jsme doufali, že bychom mohli přejít na provoz všech Linuxových virtuálních počítačů v takzvaném PVH režimu virtualizace, kde emulátor I / O vůbec není potřebný, ale ukázalo se, že Linuxové jádro na to není úplně připravené," Tým Qubes uvedl v analýze nejnovějších oprav Xen. "Takže v Qubes 4.0 budeme používat klasický režim HVM, kde je emulátor I / O sandboxed uvnitř ... PV VM (což je také případ, kdy jeden spouští Windows AppVMs na Qubes 3.x)."

Dobrou zprávou je, že základem je přepnutí Qubes na PVH v budoucnu, když linuxové jádro přidá potřebnou podporu, a dokonce nahradí Xen úplně jiným, pokud přijde lepší alternativa..

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.