Xen Project laver alvorlige virkelighedsfejl ved virtuelle maskiner

Xen-projektet har rettet fire sårbarheder i sin meget anvendte virtualiseringssoftware, hvoraf to kunne give ondsindede virtuelle maskineadministratorer mulighed for at overtage vært-servere.

Fejl, der bryder isoleringslaget mellem virtuelle maskiner, er den mest alvorlige slags for en hypervisor som Xen, som giver brugerne mulighed for at køre flere VM'er på den samme underliggende hardware på en sikker måde.

Xen hypervisor bruges meget af cloud computing-udbydere og virtuelle private serverhostingfirmaer som Linode, som måtte genstarte nogle af sine servere i de sidste par dage for at anvende de nye patches.

Xen-opdateringerne, som blev delt med partnere på forhånd, blev offentliggjort torsdag sammen med ledsagende sikkerhedsrådgivere.

Én sårbarhed, der identificeres som CVE-2016-7093, påvirker virtuelle hardware-maskiner (HVM'er), der bruger hardware-assisteret virtualisering. Det giver en administrator af et gæst OS mulighed for at eskalere deres privilegium til værten.

Sårbarheden påvirker Xen version 4.7.0 og nyere samt Xen frigiver 4.6.3 og 4.5.3, men kun de implementeringer med HVM-gæster, der kører på x86-hardware.

En anden eskaleringsfejl ved privilegier, der er identificeret som CVE-2016-7092, påvirker den anden type virtuelle maskiner understøttet af Xen: paravirtualiserede (PV) VM'er. Sårbarheden påvirker alle Xen-versioner og giver administratorer af 32-bit PV-gæster mulighed for at få privilegier på værten.

De to andre programrettede sårbarheder, CVE-2016-7154 og CVE-2016-7094, kan udnyttes af gæsteadministratorer for at forårsage afvisning af serviceforhold på værten. I tilfælde af CVE-2016-7154, som kun påvirker Xen 4.4, kan eksekvering af fjernkode og eskalering af privilegier ikke udelukkes, sagde Xen-projektet i en rådgivende.

I mellemtiden påvirker CVE-2016-7094 alle versioner af Xen, men kun implementeringer, der er vært for HVM-gæster på x86-hardware, der er konfigureret til at køre med skyggesidering.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.