关键Xen虚拟机管理程序漏洞危及虚拟化环境
广泛使用的Xen管理程序中的一个关键漏洞允许攻击者突破在虚拟机内运行的客户操作系统,并访问主机系统的整个内存。
这是严重违反管理程序强制执行的安全障碍,对客户“虚拟化服务器共享相同的底层硬件的多租户数据中心构成特定威胁。
云计算提供商和虚拟专用服务器托管公司以及QUBES OS等安全的操作系统使用开源Xen管理程序。
[进一步阅读:VMware修补严重虚拟机逃生缺陷]新的漏洞会影响Xen 4.8.x,4.7.x,4.6.x,4.5.x和4.4.x,并在Xen代码库中存在超过四年。它在2012年12月无意中推出,作为不同问题的修复的一部分。
Xen项目发布了一个补丁星期二,可以手动应用于易受攻击的部署。好消息是,漏洞只能从64位半虚拟的客户机操作系统中利用。
Xen支持两种类型的虚拟机:硬件虚拟机(HVMS),它使用硬件辅助虚拟化和使用基于软件的虚拟化的半虚拟化(PV)VM。基于是否使用PV VM,Xen用户可能会受到影响。
例如,亚马逊Web服务在顾问中表示,其客户“数据和实例不受此漏洞的影响,并且不需要客户行动。同时,虚拟私有服务器提供商Linode必须重新启动其一些传统的Xen服务器才能应用修复程序。
QUBES OS,一个使用Xen将应用程序中的操作系统隔离虚拟机中的操作系统,也提出了一个咨询警告,即攻击其他漏洞的攻击者,例如在浏览器中,可以利用此Xen问题危及整个QUBES系统。
QUBES开发人员已发布用于QUBES 3.1和3.2的修补XEN软件包,并重申其打算在即将到来的QUBES 4.0中完全停止使用Paravirtualization。
允许破坏虚拟机隔离层的漏洞可能对攻击者来说非常有价值。最近的PWN2WOWS HACKING比赛为VMware工作站或Microsoft Hyper-V中的虚拟机逃脱提供了100,000美元的奖励。利用收购公司Zerodium提供高达50,000美元的这种漏洞利用。
- · Linux基金会为构建区块链商业网络开发工具
- · 英国消费者威胁到数据泄露反弹
- · Microsoft向Windows 10,Office 365致力于每年一次更新
- · Techuk CEO说,工业和政府必须合作推动数字经济。
- · Next.js 2.0与React,JavaScript更好地播放
- · 无人机软件为脱机农民实时图像
- · 大型MAC的本地成本决定了FATBOY赎金软件的赎金金额
- · 高通公司可以考虑要求我们禁止iPhone进口
- · Oracle开放世界2018年:CEO Mark Hurd说SAP ERP客户将缺陷
- · 思科表示,自动化和CSR正在为英国PLC推动Reskilling过程
