Xen lukker alvorligt hul

Artiklen blev oprindeligt publiceret den 2/10/2014

Udviklerne af open source hypervisoren Xen har lukket et sikkerhedshul, der giver virtuelle maskiner mulighed for at se data tilhørende andre maskiner.

Sårbarheden består i, at en virtuel maskine (gæst) kan få adgang til op til tre kilobyte data fra et tilfældigt sted i arbejdslagere. Det kan være data fra hypervisoren eller fra en anden gæst.

Fejlen findes kun på Xen-systemer, der kører på x86-servere. Kun PVHVM-gæster er ramt, ikke PV-gæster.

Xen har lukket fejlen med sikkerhedsrettelsen Xen Security Advisory XSA-108.

Der er udsendt rettede versioner af styresystemer, som leveres med Xen såsom Debian, CentOS og XenServer.

Xen anvendes på nogle af de største cloud-systemer. De fik adgang til rettelsen, før udviklerne offentliggjorde den. Det gælder blandt andre Amazon og Rackspace.

En angriber skal have adgang til at køre en virtuel maskine for at udnytte sårbarheden.

Anbefaling
Installer opdateringen.

Links

• Xen Security Advisory CVE-2014-7188 / XSA-108
• Xen security and XSA-108, blogindlæg af Olivier Lambert
• Cloud-firmaer lukker hul i Xen, DKCERT 01-10-2014