Окт 29, 2015 - 0 Comments - Интересно -

Критическая уязвимость в Xen, позволяющая получить контроль над хост-системой

29.10.2015 20:43 Критическая уязвимость в Xen, позволяющая получить контроль над хост-системой

Проект Xen сообщил об устранении в гипервизоре порции уязвимостей, из которых отдельного внимания заслуживает проблема CVE-2015-7835 (XSA-148). Уязвимость позволяет привилегированному пользователю паравиртуализированной гостевой системы получить полный контроль над хост-системой и другими виртуальными окружениями. Проблема была выявлена инженерами компании Alibaba, которые недавно подключились к разработке Xen.

Проблема вызвана ошибкой в коде «маппинга» больших страниц памяти в паравиртуализированных гостевых системах (PV) и позволяет получить доступ на запись к страницам памяти, рассчитанным на обращение только в режиме чтения. По мнению разработчиков операционной системы Qubes, выявленная проблема является самой опасной уязвимостью за всю историю существования проекта Xen. То, что проблема присутствует в кодовой базе Xen уже семь лет заставляет задуматься о необходимости аудита безопасности кодовой базы гипервизора и рассмотрению безопасности как первичного приоритета в разработке Xen.

Уязвимость проявляется в Xen 3.4 и более новых выпусках, на 32- и 64-разрядных системах x86 (платформы ARM проблеме не подвержены). Всем пользователям Xen рекомендуется срочно применить патчи или установить обновления, которые в настоящий момент доступны только для Qubes OS (пакеты 4.4.3-8 и 4.1.6.1-23). Обходным вариантом является перевод паравиртуализированных гостевых систем в режим полной виртуализации (HVM). Компания Amazon сообщила, что её облачные сервисы не подвержены проблеме. Rackspace, IBM/Softlayer и Linode также уже устранили проблему до её публичного обнародования в рамках программы предварительного информирования вендоров.

  1. Главная ссылка к новости (http://xenbits.xen.org/xsa/adv…)
  2. OpenNews: Сайт проекта OpenSSL был взломан через уязвимость в гипервизоре хостинг-провайдера
  3. OpenNews: Критическая уязвимость, позволяющая выполнить код вне гостевой системы в Xen, KVM, VirtualBox и QEMU
  4. OpenNews: Критическая уязвимость, позволяющая выполнить код вне гостевой системы в Xen, KVM, VirtualBox и QEMU
  5. OpenNews: Уязвимость в IDE-подсистеме QEMU позволяет скомпрометировать Xen, KVM и VirtualBox
  6. OpenNews: Критическая уязвимость в гипервизоре Xen
Тип: Проблемы безопасности
Ключевые слова: xen, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
 
 
 
 
+/
Возьми любой софт, вышедший в этом году, запусти его на машине десятилетней давности, патетически заломи руки и воскликни: «Десять лет не могли сделать, Карл, десять лет!!!». А можно еще круче, берем культовую игру прошлого, например Master of Magic от 1985 года, и восклицаем: «Тридцать лет не могут сделать достойное продолжение! Тридцать лет, Карл!!!»
 
 
+1 +/
А ви таки зачем спгашиваете? 🙂

Лично тебе кто то не давал исправит её? У тебя 7 лет было, Карл! 7 лет :))))
Ну а вот кто то из али-бабы смог. Увидел, понял, оху***, исправил, поржал, поделился.
Вот видишь — целая жизнь. А с проприетарным *** ты всего этого лишён, а дыр и багов — таки нет. Жрите’с 🙂

 
–1 +/
подскажите нубу: qemu в составе Xen сильно нужен? а то надо передавать конфигуратору и мейку дополнительные параметры и энвайнменты и влом перепиливать исходники для этого.
 

Ваш комментарий
 

This entry passed through the Full-Text RSS service — if this is your content and you’re reading it on someone else’s site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Человек ? *