Wysoce krytyczna usterka ucieczki maszyny wirtualnej Xena zostaje naprawiona

Projekt Xen naprawił kilka luk w swoim popularnym oprogramowaniu do wirtualizacji, w tym jedną, która może pozwolić potencjalnym atakującym na wyjście z maszyny wirtualnej i przejęcie kontroli nad systemem hosta.

Luki w zabezpieczeniach, które niszczą warstwę izolacji między maszynami wirtualnymi, są najpoważniejszym typem hiperwizora, takiego jak Xen, którego głównym celem jest umożliwienie bezpiecznego uruchamiania wielu maszyn wirtualnych na tym samym sprzęcie..

Wydane w czwartek łaty Xen naprawiają w sumie dziewięć luk, ale najpoważniejsza z nich to eskalacja uprawnień zidentyfikowana jako CVE-2015-7835.

Nie wynika to z tradycyjnego błędu programistycznego, ale z logicznej wady sposobu, w jaki Xen implementuje wirtualizację pamięci dla maszyn wirtualnych PV (parawirtualizowanych). PV to technika umożliwiająca wirtualizację procesorów, które nie obsługują wirtualizacji wspomaganej sprzętowo.

Jako taki błąd może być wykorzystany tylko przez złośliwych administratorów gości PV i tylko na systemach x86, powiedział Xen Project w poradniku. Xen w wersji 3.4 i wyższej są wrażliwe.

Luka, która istnieje od 7 lat, jest „prawdopodobnie najgorszym, jaki widzieliśmy, kiedykolwiek wpływającym na hiperwizora Xen”, powiedział zespół ds. Bezpieczeństwa projektu Qubes OS we własnej opinii. Qubes OS polega na Xen do dzielenia różnych zadań wykonywanych przez użytkowników w celu zwiększenia bezpieczeństwa.

„To naprawdę szokujące, że taki błąd czai się w rdzeniu hiperwizora od tylu lat”, powiedział zespół ds. Bezpieczeństwa Qubes. „Naszym zdaniem projekt Xen powinien przemyśleć swoje wytyczne dotyczące kodowania i spróbować wymyślić praktyki i być może dodatkowe mechanizmy, które nie pozwoliłyby na podobne usterki, by ponownie nękały hiperwizora (być może mechanizmy przypominające aserty). W przeciwnym razie cały projekt nie spowoduje sens, przynajmniej dla tych, którzy chcieliby używać Xen do pracy wrażliwej na bezpieczeństwo. ”

Dołącz do społeczności Network World na Facebooku i LinkedIn, aby komentować najważniejsze tematy.