Vysoce kritický únikový nedostatek virtuálního stroje Xenu je opraven

Projekt Xen opravil několik zranitelných míst ve svém populárním virtualizačním softwaru, včetně jednoho, který by mohl potenciálním útočníkům umožnit vymanit se z virtuálního počítače a získat kontrolu nad hostitelským systémem.

Zranitelnosti, které narušují izolační vrstvu mezi virtuálními stroji, jsou pro hypervizora, jako je Xen, nejzávažnějším typem, jehož hlavním cílem je umožnit bezpečným způsobem provozovat více virtuálních počítačů na stejném hardwaru..

Patche Xen vydané ve čtvrtek opravují celkem devět zranitelností, ale privilegované eskalace identifikované jako CVE-2015-7835 je nejvážnější.

Vyplývá to z tradiční chyby programování, ale z logické chyby v tom, jak Xen implementuje virtualizaci paměti pro PV (paravirtualizované) VM. PV je technika, která umožňuje virtualizaci na procesorech, které nepodporují hardwarovou virtualizaci.

Tuto chybu mohou zneužít pouze zlomyslní administrátoři PV hostů a pouze na systémech x86, řekl projekt Xen v radě. Xen verze 3.4 a vyšší jsou zranitelné.

Tato zranitelnost, která existuje 7 let, je „pravděpodobně nejhorší, co jsme kdy viděli ovlivňovat hypervizora Xenu,“ řekl bezpečnostní tým projektu Qubes OS ve své vlastní radě. Qubes OS spoléhá na Xen, aby rozdělil různé úkoly prováděné uživateli pro zvýšení bezpečnosti.

"Je skutečně šokující, že taková chyba se skrývá v jádru hypervisoru už tolik let," řekl bezpečnostní tým Qubes. „Podle našeho názoru by měl projekt Xen přehodnotit své pokyny pro kódování a pokusit se přijít s praktikami a možná dalšími mechanismy, které by nedovolily, aby podobné nedostatky morem hypervisora ​​znovu pokazily (možná podobné mechanismy?). Jinak celý projekt neudělá žádné smysl, přinejmenším těm, kteří by chtěli používat Xen pro práci citlivou na bezpečnost. “

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.