Проект Xen рассказал о причинах сбоев служб Rackspace и Amazon

В блоге проекта Xen, бесплатного гипервизора с открытым кодом, широко используемого провайдерами облачных вычислений, сообщаются подробности о критической уязвимости, которая может быть использована хакерами для обвала серверов, предоставляющих услуги хостинга виртуальных машин.

Недоработка в эмуляционном коде, используемом при исполнении гостевых HVM на процессорах x86, получила условное наименование XSA-108 и квалифицируется экспертами Xen как серьезная. «Баг позволяет атакующему с расширенными привилегиями гостевой ОС организовывать крах хоста или считывать до трех килобайт произвольной памяти, — говорится в сообщении. — Эта память может содержать конфиденциальную информацию, если она выделена другому гостю или супервайзеру».

Сообщение в блоге стало реакцией на обеспокоенность клиентов Xen безопасностью их данных, которая вызвана спекуляциями, возникшими после того, как Amazon и Rackspace внезапно отключили своим заказчикам часть сервисов из-за «обновления защиты и текущего ремонта».

На прошлой неделе проект Xen выпустил патч, который на условиях неразглашения предоставил своим заказчикам, чтобы закрыть прорехи в защите, не ставя об этом в известность взломщиков. Некоторые крупные облачные провайдеры, по имеющейся информации, уже обновили свои серверы, менее значительные вендоры, по всей видимости, последовали их примеру.

Политика ответственного разглашения уязвимостей в последнее время стала объектом активных дискуссий в технологическом сообществе. Google 1 октября анонсировала волну реформ в своей программе Chrome Bug Bounty, призванных облегчить работу охотников на баги.