Xen korrigiert die neue Sicherheitsanfälligkeit für virtuelle Maschinen

Eine neue Sicherheitslücke im Emulationscode, die von der Xen-Virtualisierungssoftware verwendet wird, kann es Angreifern ermöglichen, die kritische Sicherheitsbarriere zwischen virtuellen Maschinen und den Host-Betriebssystemen, auf denen sie ausgeführt werden, zu umgehen.

Die Sicherheitsanfälligkeit liegt in der CD-ROM-Laufwerksemulationsfunktion von QEMU, einem Open-Source-Hardwareemulator, der von Xen, KVM und anderen Virtualisierungsplattformen verwendet wird. Der Fehler wird als CVE-2015-5154 in der Common Vulnerabilities and Exposures-Datenbank verfolgt.

Das Xen-Projekt hat am Montag Patches für seine unterstützten Versionen veröffentlicht und festgestellt, dass alle Xen-Systeme, auf denen x86-HVM-Gäste ohne Stubdomains ausgeführt werden und die mit einem emulierten CD-ROM-Laufwerksmodell konfiguriert wurden, anfällig sind.

Durch eine erfolgreiche Ausnutzung kann ein Benutzer mit Zugriff auf ein Gastbetriebssystem den QEMU-Prozess übernehmen und Code auf dem Hostbetriebssystem ausführen. Dies verstößt gegen eine der primären Sicherheitsvorkehrungen für virtuelle Maschinen, mit denen das Host-Betriebssystem vor den Aktionen eines Gastes geschützt werden soll.

Glücklicherweise sind Xen-basierte Virtualisierungssysteme, die nicht für die Emulation eines CD-ROM-Laufwerks im Gastbetriebssystem konfiguriert sind, nicht betroffen, was wahrscheinlich bei den meisten Rechenzentren der Fall sein wird.

Die Sicherheitsanfälligkeit ähnelt einer anderen, die im Mai im QEMU-Emulationscode für Diskettenlaufwerke gemeldet wurde. Dieser Fehler, der als Venom bezeichnet wurde, war jedoch schwerwiegender, da der anfällige Code auch dann aktiv blieb, wenn der Administrator das virtuelle Diskettenlaufwerk für eine virtuelle Maschine deaktivierte.

Mehrere Linux-Distributionen, einschließlich Red Hat Enterprise Linux 7 und SUSE Linux Enterprise 12, erhielten Patches für QEMU, KVM oder Xen.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.