Xen hypervisor står over for den tredje meget kritiske VM-flugtbug på 10 måneder

Xen-projektet har rettet tre sårbarheder i sin meget anvendte hypervisor, der kunne give operativsystemer, der kører inden i virtuelle maskiner, adgang til værtssystemernes hukommelse og ødelægge det kritiske sikkerhedslag blandt dem..

To af de korrigerede sårbarheder kan kun udnyttes under visse betingelser, hvilket begrænser deres brug i potentielle angreb, men den ene er en meget pålidelig fejl, der udgør en alvorlig trussel mod multitenant-datacentre, hvor kundernes virtualiserede servere deler den samme underliggende hardware.

Manglerne har endnu ikke CVE-sporingsnumre, men er dækket af tre Xen-sikkerhedsvejledninger kaldet XSA-213, XSA-214 og XSA-215.

"XSA-213 er en dødelig, pålidelig udnyttelig fejl i Xen," sagde sikkerhedsteamet i Qubes OS, et operativsystem, der isolerer applikationer i virtuelle Xen-maskiner. "I den næsten otte år lange historie med Qubes OS-projektet er vi blevet opmærksomme på fire bugs af dette kaliber: XSA-148, XSA-182, XSA-212 og nu XSA-213."

Af disse fire meget kritiske og lette at udnytte sårbarheder er tre fundet og opdateret i løbet af de sidste 10 måneder og to i løbet af den sidste måned - XSA-182 blev rettet i juli 2016, XSA-212 i april og XSA-213 på tirsdag.

En anden almindelighed er, at alle af dem påvirkede Xen-hukommelses virtualisering for paravirtualiserede (PV) VM'er. Xen understøtter to typer virtuelle maskiner: Hardware Virtual Machines (HVM'er), der bruger hardware-assisteret virtualisering, og paravirtualiserede VM'er, der bruger softwarebaseret virtualisering.

De to andre fejl, der er rettet tirsdag, XSA-214 og XSA-215, påvirker også paravirtualiserede VM'er. Forskellen er, at XSA-214 kræver to ondsindede gæst-VM'er til at arbejde sammen for at få adgang til systemhukommelsen, mens XSA-215 kun påvirker "x86-systemer med fysisk hukommelse, der strækker sig til en konfigurationsafhængig grænse på 5TB eller 3.5TB."

En begrænsning for XSA-213 er, at den kun kan udnyttes fra 64-bit PV-gæster, så systemer, der kun kører HVM eller 32-bit PV-gæster, påvirkes ikke.

Xen-udviklerne frigav patches til Xen 4.8.x, Xen 4.7.x, Xen 4.6.x og Xen 4.5.x, der kan anvendes manuelt på berørte systemer.

Open-source Xen hypervisor bruges af mange cloud computing-udbydere og virtuelle private server (VPS) hostingfirmaer, hvoraf nogle modtog patches på forhånd og blev tvunget til at planlægge vedligeholdelsesnedetider.

F.eks. Måtte VPS-udbyder Linode genstarte nogle af sine ældre Xen PV-værter for at anvende rettelsen og rådede kunderne om at flytte til sine HVM-baserede servere for at undgå fremtidige stilstandstider.

I mellemtiden sagde Amazon Web Services, at dets kunders data og forekomster ikke var påvirket af disse sårbarheder, og at der ikke var behov for kundeaktion.

Qubes OS-team, der er stolte af at bygge et af de mest sikre desktop-operativsystemer, har haft nok af at skulle gentagne gange håndtere Xen PV-sårbarheder. Derfor har det i løbet af de sidste 10 måneder lagt ekstra arbejde på at skifte den næste version af OS - Qubes 4.0 - til HVM.

"Vi håbede oprindeligt, at vi kunne skifte til at køre alle Linux VM'er i en såkaldt PVH-tilstand af virtualisering, hvor I / O-emulatoren slet ikke er nødvendig, men det viste sig, at Linux-kernen ikke er helt klar til dette," siger Qubes team sagde i en analyse af de nyeste Xen-patches. "Så i Qubes 4.0 vil vi bruge den klassiske HVM-tilstand, hvor I / O-emulatoren er sandkasse inden i ... en PV VM (hvilket også er tilfældet, når man kører Windows AppVM'er på Qubes 3.x)."

Den gode nyhed er, at grundarbejdet er indstillet til at skifte Qubes til PVH i fremtiden, når Linux-kernen tilføjer den nødvendige support, og endda til at erstatte Xen helt med noget andet, hvis et bedre alternativ kommer med.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.