`

СПЕЦІАЛЬНІ
ПАРТНЕРИ
ПРОЕКТУ

Чи використовує ваша компанія ChatGPT в роботі?

Колонка

Геннадий
Армашула
Трест, который лопнул

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

  
Главная » Новости

В гипервизоре Xen найдена третья критическая уязвимость за 10 месяцев

4 мая 2017 г., 10:04
0 
 
В гипервизоре Xen найдена третья критическая уязвимость за 10 месяцев

Xen Project исправил три дефекта в его популярном гипервизоре, которые позволяли гостевым ОС виртуальных машин преодолевать слой защиты и получать доступ к памяти хост-систем.

Две из исправленных уязвимостей, XSA-214 и XSA-215, можно использовать только при определенном стечении обстоятельств, что снижает их опасность. XSA-214 требует согласованной работы сразу двух паравиртуализованных (PV) машин взломщиков, а XSA-215 представляет опасность только для систем x86 с физической памятью, расширенной до определяемого конфигурацией предела в 5 или 3,5 ТБ.

Третья недоработка, XSA-213, угрожает безопасности многопользовательских ЦОД, в которых виртуальные серверы многих арендаторов установлены на одном и том же оборудовании. Она может использоваться только с 64-разрядными гостевыми ОС и безопасна для 32-битовых PV.

«XSA-213 это фатальная, надежно эксплуатируемая ошибка в Xen, — сообщила команда безопасности Qubes OS, операционной системы, которая изолирует приложения внутри ВМ Xen. — За почти восьмилетнюю историю проекта Qubes OS нам известно четыре ошибки такого калибра: XSA-148, XSA-182, XSA-212 и теперь XSA-213».

Из этих четырёх критических уязвимостей три были обнаружены и исправлены в последние 10 месяцев, а две — за апрель-май. Общая особенность этих недоработок — все они связаны с ВМ, использующими программную виртуализацию (PV) и неопасны для аппаратных ВМ (HVM).

В связи с этим, разработчики Qubes OS за эти 10 месяцев активизировали работу по переводу следующей версии своей системы — Qubes 4.0 — на HVM. Также заложены основы для перехода в будущем (когда в ядре Linux появится необходимая поддержка) на новый режим виртуализации, PVH, при котором не требуется эмулятор ввода-вывода.

Выпущенные патчи для Xen 4.8.x, Xen 4.7.x, Xen 4.6.x и Xen 4.5.x требуют установки вручную. Ряд провайдеров облачных сервисов и хостинга частных серверов уже обновили свои системы. Некоторые из них рекомендуют клиентам перейти на серверы с аппаратной виртуализацией, чтобы избежать будущих перебоев в обслуживании.

AWS заявила, что эти уязвимости не влияют на данные и экземпляры её клиентов, от которых не требуется никаких дополнительных действий.

Стратегія охолодження ЦОД для епохи AI

0 
 

Напечатать Отправить другу

Читайте также

  

Ukraine

Останні обговорення

ТОП-новости

ТОП-блоги

ТОП-статьи

 

  •  Home  •  Ринок  •  IТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Мережі  •  Безпека  •  Наука  •  IoT