Xen Project ujawnia poważną lukę, która wpływa na zwirtualizowane serwery

Projekt Xen ujawnił szczegóły poważnej luki w hiperwizorze Xen, która może zagrozić bezpieczeństwu wielu zwirtualizowanych serwerów.

Xen to darmowy hiperwizor typu open source służący do tworzenia i uruchamiania maszyn wirtualnych. Jest szeroko stosowany przez dostawców przetwarzania w chmurze i firmy hostingowe wirtualnych serwerów prywatnych.

Luka w zabezpieczeniach, która jest śledzona jako CVE-2014-7188 i została wcześniej ujawniona prywatnie głównym dostawcom usług w chmurze, zmusiła przynajmniej Amazon Web Services i Rackspace do ponownego uruchomienia niektórych zwirtualizowanych serwerów ich klientów w ciągu ostatniego tygodnia.

Ten problem umożliwia maszynie wirtualnej utworzonej za pomocą sprzętowej wirtualizacji Xen (HVM) odczytywanie danych przechowywanych przez innych gości HVM korzystających z tego samego sprzętu fizycznego. To przełamuje ważną barierę bezpieczeństwa w środowiskach wirtualnych z wieloma dzierżawcami.

Złośliwy gość HVM może również wykorzystać tę usterkę do awarii serwera hosta, powiedział Xen Project w raporcie bezpieczeństwa opublikowanym w środę.

Luka dotyczy tylko Xen działających na systemach x86, a nie ARM i nie wpływa na serwery zwirtualizowane w trybie parawirtualizacji Xen zamiast HVM.

Mimo to problem może dotyczyć bardzo dużej liczby serwerów. Amazon został zmuszony do ponownego uruchomienia do 10 procent swoich serwerów Elastic Cloud Compute (EC2) w ciągu ostatnich kilku dni w celu zastosowania poprawki, a podobny wysiłek Rackspace wpłynął na ćwierć z 200 000 klientów.

Amazon zaplanował ponowne uruchomienie, aby nie miały wpływu na dwa regiony ani strefy dostępności w tym samym czasie.

„Ponowne uruchamianie stref po strefie zakończyło się zgodnie z planem i ściśle współpracowaliśmy z naszymi klientami, aby zapewnić, że ponowne uruchomienie przebiegło bezproblemowo”, powiedziała firma w środę w blogu.

Sprawy nie potoczyły się tak gładko dla Rackspace, którego CEO, Taylor Rhodes, przyznała w e-mailu wysłanym do klientów we wtorek, że firma „upuściła kilka piłek” w procesie radzenia sobie z podatnością.

„Na przykład niektóre z naszych restartów trwały znacznie dłużej niż powinny” - powiedział Rhodes. „A niektóre z naszych powiadomień nie były tak jasne, jak powinny. Wprowadzamy zmiany w celu usunięcia tych błędów ”.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.