`

СПЕЦИАЛЬНІ
ПАРТНЕРИ
ПРОЕКТА

BEST CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Дефект в Xen угрожает безопасности виртуальных машин

0 
 

В популярном гипервизоре Xen обнаружена уязвимость, которая позволяет хакерам взламывать гостевую ОС, получая доступ ко всей её памяти.

Эта проблема представляет особую опасность для многопользовательских (multi-tenant) датацентров, в которых виртуализированные серверы различных клиентов работают на общем оборудовании.

ПО с открытым кодом, Xen, применяется провайдерами облачных вычислений и хостинга виртуальных серверов, а также используется в защищённых операционных системах, таких как Qubes OS.

Выявленный баг был случайно внесён в кодовую основу Xen в декабре 2012 г. вместе с обновлением, исправляющим другую проблему. На сегодняшний день он присутствует во всех версиях, начиная с 4.4.x.

Для того, чтобы использовать эту уязвимость требуется паравиртуализированная (PV) 64-разрядная гостевая ОС. Xen поддерживает два типа виртуальных машин, с программной (PV) и аппаратной (Hardware Virtual Machines, HVM) виртуализацией. Соответственно, пользователей HVM, например, клиентов AWS, эта проблема не касается.

Проект Xen уже подготовил соответствующий патч, он доступен со вторника и требует установки вручную. Разработчики Qubes также выпустили исправленный вариант гипервизора для Qubes 3.1 и 3.2. Они в очередной раз подтвердили намерение отказаться в будущем Qubes 4.0 от использования паравиртуализации.

Уязвимости, позволяющие нарушить изоляцию виртуальных машин представляют большую ценность для хакеров. Pwn2Own предлагает 100 тыс. долл. за такой эксплойт для VMware Workstation или Microsoft Hyper-V, а фирма Zerodium — до 50 тыс. долл.

Як протидіяти DDoS та цілеспрямованим атакам на інфраструктуру

0 
 

Напечатать Отправить другу

Читайте также

 
 

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT