Xen Project afslører alvorlig sårbarhed, der påvirker virtualiserede servere

Xen-projektet har afsløret detaljerne om en alvorlig sårbarhed i Xen-hypervisoren, der kan bringe mange virtualiserede serveres sikkerhed i fare.

Xen er en gratis open source hypervisor, der bruges til at oprette og køre virtuelle maskiner. Det bruges bredt af cloud computing-udbydere og virtuelle private serverhostingsfirmaer.

Sikkerhedsproblemet, der spores som CVE-2014-7188 og blev offentliggjort til store skyudbydere på forhånd, tvang i det mindste Amazon Web Services og Rackspace til at genstarte nogle af deres kunders virtualiserede servere i løbet af den sidste uge.

Problemet gør det muligt for en virtuel maskine oprettet ved hjælp af Xens hardware-assisterede virtualisering (HVM) at læse data, der er gemt af andre HVM-gæster, der deler den samme fysiske hardware. Dette bryder en vigtig sikkerhedsbarriere i virtuelle miljøer med flere lejere.

En ondsindet HVM-gæst kan også udnytte fejlen ved at gå ned i værtsserveren, sagde Xen-projektet i en sikkerhedsrådgivning, der blev offentliggjort onsdag.

Sårbarheden påvirker kun Xen, der kører på x86-systemer, ikke ARM, og påvirker ikke servere, der er virtualiseret med Xens paravirtualisering (PV) -tilstand i stedet for HVM.

Alligevel vil problemet sandsynligvis påvirke et meget stort antal servere. Amazon blev tvunget til at genstarte op til 10 procent af sine Elastic Cloud Compute (EC2) servere i løbet af de sidste dage for at anvende patch'en, og Rackspace's lignende indsats påvirkede en fjerdedel af sine 200.000 kunder.

Amazon planlagde sine genstarter, så de ikke påvirkede to regioner eller tilgængelighedszoner på samme tid.

"Omstart af zone for zone blev afsluttet som planlagt, og vi arbejdede meget tæt med vores kunder for at sikre, at genstarterne gik glat for dem," sagde virksomheden onsdag i et blogindlæg.

Ting gik ikke så glat for Rackspace, hvis administrerende direktør, Taylor Rhodes, indrømmede i en e-mail, der blev sendt til kunderne tirsdag, at virksomheden "faldt et par bolde" i processen med at håndtere sårbarheden.

”Nogle af vores genstarter tog for eksempel meget længere tid end de burde,” sagde Rhodes. ”Og nogle af vores meddelelser var ikke så klare, som de burde have været. Vi foretager ændringer for at løse disse fejl. ”

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.