Xen Project修补严重的虚拟机逃生缺陷
2021-07-19 15:44:11 [来源]:
Xen项目在其广泛使用的虚拟化软件中固定了四种漏洞,其中两个可能允许恶意虚拟机管理员接管主机服务器。
在虚拟机之间打破隔离层的缺陷是Xen等管理程序最严重的类型,这允许用户以安全的方式在同一底层硬件上运行多个VM。
Xen管理程序广泛用于云计算提供商和虚拟专用服务器托管公司,如Linode,它必须在过去的几天内重新启动其一些服务器以应用新补丁。
提前与合作伙伴共享的Xen更新,并随附安全咨询公开发布。
标识为CVE-2016-7093的一个漏洞影响了使用硬件辅助虚拟化的硬件虚拟机(HVM)。它允许客户机操作系统的管理员将其权限升级到主机的权限。
该漏洞会影响Xen版本4.7.0及更高版本,以及Xen发布4.6.3和4.5.3,但只有那些部署HVM Guests在x86硬件上运行。
标识为CVE-2016-7092的另一个特权升级缺陷会影响Xen支持的其他类型的虚拟机:半虚拟化(PV)VM。该漏洞影响所有XEN版本,并允许32位PV Guests的管理员在主机上获得权限。
其他其他修补的漏洞,CVE-2016-7154和CVE-2016-7094可以由来宾管理员利用,以在主机上导致拒绝服务条件。在CVE-2016-7154的情况下,影响仅限Xen 4.4,Xen Project在咨询中表示,无法排除远程执行和权限升级。
同时,CVE-2016-7094影响了Xen的所有版本,但只有在X86硬件上托管HVM Guests的部署,该硬件将与暗影分页一起运行。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如有侵权行为,请第一时间联系我们修改或删除,多谢。