Projekt Xen naprawia poważne usterki maszyny wirtualnej

Projekt Xen naprawił cztery luki w szeroko stosowanym oprogramowaniu do wirtualizacji, z których dwa mogą umożliwić złośliwym administratorom maszyn wirtualnych przejęcie serwerów hosta.

Błędy, które łamią warstwę izolacji między Maszyny wirtualne są najpoważniejszym rodzajem hiperwizora, takiego jak Xen, który umożliwia użytkownikom uruchamianie wielu maszyn wirtualnych na tym samym bazowym sprzęcie w bezpieczny sposób.

Hiperwizor Xen jest szeroko stosowany przez dostawców usług w chmurze i firmy hostingowe serwerów prywatnych, takich jak Linode, który musiał zrestartować niektóre swoje serwery w ciągu ostatnich kilku dni, aby zastosować nowe łatki.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z Windows P C]

Aktualizacje Xen, które zostały wcześniej udostępnione partnerom, zostały opublikowane w czwartek wraz z towarzyszącymi im poradami bezpieczeństwa.

Jedna luka określona jako CVE-2016-7093 dotyczy maszyn wirtualnych sprzętowych (HVM), które używają sprzętu wspomagana wirtualizacja. Pozwala administratorowi systemu-gościa na eskalację swoich uprawnień do uprawnień hosta.

Luka dotyczy wersji Xen 4.7.0 i nowszych, a także Xen wersji 4.6.3 i 4.5.3, ale tylko tych wdrożeń z HVM goście korzystający ze sprzętu x86.

Inna luka eskalacji uprawnień określona jako CVE-2016-7092 wpływa na inny typ maszyn wirtualnych obsługiwanych przez maszyny wirtualne Xen: paravirtualized (PV). Luka ma wpływ na wszystkie wersje Xen i umożliwia administratorom 32-bitowych gości PV uzyskanie przywilejów na hoście.

Dwie inne łatane luki, CVE-2016-7154 i CVE-2016-7094, mogą być wykorzystane przez administratorów gości do powodować warunki odmowy usługi na hoście. W przypadku CVE-2016-7154, który dotyczy tylko Xen 4.4, nie można wykluczyć zdalnego wykonania kodu i eskalacji uprawnień, projekt Xen powiedział w poradniku.

Tymczasem CVE-2016-7094 dotyczy wszystkich wersji Xen, ale tylko instalacje hostujące gości HVM na sprzęcie x86 skonfigurowanym do działania ze stronami w tle.