Xen Project在其广泛使用的虚拟机管理程序中固定了三种漏洞,可以允许在虚拟机内运行的操作系统访问主机系统的内存,在其中打破关键安全层。
只有两个修补的漏洞只能在某些条件下剥削,这限制了它们在潜在攻击中的使用,但是一个是一个高度可靠的缺陷,对客户“虚拟化服务器共享相同的基础硬件的多租户数据中心构成严重威胁。
缺陷Don“T但是CVE跟踪号码,但是被称为XSA-213,XSA-214和XSA-215的三个Xen安全建议。
“XSA-213是Xen的致命,可靠的可利用错误,”QUBES OS的安全团队,一个隔离Xen虚拟机中的应用程序的操作系统。“在QUBES OS项目的近八年历史中,我们已经意识到这一口径的四个错误:XSA-148,XSA-182,XSA-212和现在XSA-213。“
在这四个非常关键且易于利用漏洞中,在过去的10个月内发现并修补了过去的两个月,在过去的一个月里,XSA-182于2016年7月修正,XSA-212于周二XSA-213 。
另一个共性是,所有的共性都影响了半虚拟化(PV)VM的Xen内存虚拟化。Xen支持两种类型的虚拟机:硬件虚拟机(HVMS)使用硬件辅助虚拟化和使用基于软件的虚拟化的半虚拟化VM。
周二修补的其他两个缺陷,XSA-214和XSA-215,也会影响半虚拟化VM。不同之处在于XSA-214需要两个恶意客人VM来协同工作以便访问系统内存,而XSA-215仅影响“X86系统,物理内存延伸到5TB或3.5TB的配置相关边界”。
XSA-213的一个限制是它只能从64位PV访客中利用,因此仅运行HVM或32位PV客户的系统不受影响。
Xen开发人员发布了Xen 4.8.x,Xen 4.7.x,Xen 4.6.x和Xen 4.5.x的修补程序,可以手动应用于受影响的系统。
许多云计算提供商和虚拟专用服务器(VPS)托管公司使用的开源Xen管理程序,其中一些托管公司提前收到了修补程序,并被迫安排维护下降时间。
例如,VPS提供商Linode必须重新启动其一些遗留Xen PV主机,以便应用FIX并建议客户移动到基于HVM的服务器,以避免将来的下降时间。
与此同时,亚马逊网络服务表示,其客户“数据和实例不受这些漏洞的影响,并且不需要客户行动。
QUBES OS团队以建立最安全的桌面操作系统之一的QUBES OS团队已经足以反复处理Xen PV漏洞。这就是为什么,在过去的10个月中,它已经换取了额外的工作来将OS - QUBES 4.0 - Qubes 4.0 - 到HVM的下一个版本。
“我们最初希望在所谓的虚拟化模式中转换到运行所有Linux虚拟机,其中I / O仿真器根本不需要,但它结果为Linux内核不是准备好的,” QUBES团队在分析了最新的Xen补丁时表示。“所以,在QUBES 4.0中,我们将使用经典的HVM模式,其中I / O仿真器在......一个PV VM(也是在QUBES 3.x上运行Windows Appvms时的情况)。”
好消息是,当Linux内核增加所需的支持时,将来将Qubes切换到PVH,甚至完全用其他东西替换Xen,如果更好的替代方案。
版权及免责声明:凡本网所属版权作品,转载时须获得授权并注明来源“科技金融网”,违者本网将保留追究其相关法律责任的权力。凡转载文章,不代表本网观点和立场,如有侵权,请联系我们删除。