Xen Project修补严重的虚拟机逃生缺陷

2021-09-30 12:46:19来源：

Xen项目在其广泛使用的虚拟化软件中固定了四种漏洞，其中两个可能允许恶意虚拟机管理员接管主机服务器。

在虚拟机之间打破隔离层的缺陷是Xen等管理程序最严重的类型，这允许用户以安全的方式在同一底层硬件上运行多个VM。

Xen管理程序广泛用于云计算提供商和虚拟专用服务器托管公司，如Linode，它必须在过去的几天内重新启动其一些服务器以应用新补丁。

提前与合作伙伴共享的Xen更新，并随附安全咨询公开发布。

标识为CVE-2016-7093的一个漏洞影响了使用硬件辅助虚拟化的硬件虚拟机（HVM）。它允许客户机操作系统的管理员将其权限升级到主机的权限。

该漏洞会影响Xen版本4.7.0及更高版本，以及Xen发布4.6.3和4.5.3，但只有那些部署HVM Guests在x86硬件上运行。

标识为CVE-2016-7092的另一个特权升级缺陷会影响Xen支持的其他类型的虚拟机：半虚拟化（PV）VM。该漏洞影响所有XEN版本，并允许32位PV Guests的管理员在主机上获得权限。

其他其他修补的漏洞，CVE-2016-7154和CVE-2016-7094可以由来宾管理员利用，以在主机上导致拒绝服务条件。在CVE-2016-7154的情况下，影响仅限Xen 4.4，Xen Project在咨询中表示，无法排除远程执行和权限升级。

同时，CVE-2016-7094影响了Xen的所有版本，但只有在X86硬件上托管HVM Guests的部署，该硬件将与暗影分页一起运行。

版权及免责声明：凡本网所属版权作品，转载时须获得授权并注明来源“科技金融网”，违者本网将保留追究其相关法律责任的权力。凡转载文章，不代表本网观点和立场，如有侵权，请联系我们删除。