Projekt Xen usuwa poważne usterki związane z ucieczką maszyny wirtualnej

Projekt Xen naprawił cztery luki w szeroko używanym oprogramowaniu do wirtualizacji, z których dwie mogą pozwolić administratorom złośliwych maszyn wirtualnych przejąć serwery hosta.

Wady, które przełamują warstwę izolacji między maszynami wirtualnymi, są najpoważniejszym rodzajem hiperwizora, takiego jak Xen, który pozwala użytkownikom na bezpieczne uruchamianie wielu maszyn wirtualnych na tym samym sprzęcie bazowym w bezpieczny sposób.

Hiperwizor Xen jest szeroko stosowany przez dostawców usług w chmurze i firmy oferujące wirtualne prywatne serwery, takie jak Linode, które musiały ponownie uruchomić niektóre swoje serwery w ciągu ostatnich kilku dni, aby zastosować nowe łatki.

Aktualizacje Xen, które zostały wcześniej udostępnione partnerom, zostały opublikowane publicznie w czwartek wraz z towarzyszącymi poradami bezpieczeństwa.

Jedna luka zidentyfikowana jako CVE-2016-7093 dotyczy sprzętowych maszyn wirtualnych (HVM), które wykorzystują wirtualizację wspomaganą sprzętowo. Pozwala administratorowi systemu operacyjnego gościa na zwiększenie uprawnień do hosta.

Luka dotyczy wersji Xen 4.7.0 i nowszych, a także wersji Xen 4.6.3 i 4.5.3, ale tylko wdrożenia z gośćmi HVM działającymi na sprzęcie x86.

Kolejny błąd eskalacji uprawnień zidentyfikowany jako CVE-2016-7092 wpływa na inny typ maszyn wirtualnych obsługiwanych przez Xen: maszyny wirtualne (PV). Luka dotyczy wszystkich wersji Xen i umożliwia administratorom 32-bitowych gości PV uzyskanie uprawnień na hoście.

Dwie inne łatane luki, CVE-2016-7154 i CVE-2016-7094, mogą zostać wykorzystane przez administratorów gości do spowodowania warunków odmowy usługi na hoście. W przypadku CVE-2016-7154, który wpływa tylko na Xen 4.4, nie można wykluczyć zdalnego wykonania kodu i eskalacji uprawnień, Projekt Xen powiedział w poradniku.

Tymczasem CVE-2016-7094 wpływa na wszystkie wersje Xen, ale tylko wdrożenia obsługujące gości HVM na sprzęcie x86, które są skonfigurowane do działania z stronicowaniem w tle.

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.