Xen hypervisor staat voor de derde zeer kritieke VM-escape-bug in 10 maanden

Het Xen-project heeft drie kwetsbaarheden in de veelgebruikte hypervisor verholpen waardoor besturingssystemen die op virtuele machines draaien, toegang zouden kunnen krijgen tot het geheugen van de hostsystemen, waardoor de kritieke beveiligingslaag zou worden doorbroken.

Twee van de gepatchte kwetsbaarheden kunnen alleen onder bepaalde voorwaarden worden misbruikt, wat het gebruik ervan bij potentiële aanvallen beperkt, maar één is een zeer betrouwbare fout die een ernstige bedreiging vormt voor datacenters met meerdere tenants, waar de gevirtualiseerde servers van de klanten dezelfde onderliggende hardware delen.

De gebreken hebben nog geen CVE-trackingnummers, maar worden behandeld in drie Xen-beveiligingsadviezen, XSA-213, XSA-214 en XSA-215.

"XSA-213 is een fatale, betrouwbare exploiteerbare bug in Xen", zei het beveiligingsteam van Qubes OS, een besturingssysteem dat applicaties isoleert binnen virtuele Xen-machines. "In de bijna achtjarige geschiedenis van het Qubes OS-project zijn we ons bewust geworden van vier bugs van dit kaliber: XSA-148, XSA-182, XSA-212 en nu XSA-213."

Van deze vier zeer kritieke en gemakkelijk te misbruiken kwetsbaarheden zijn er drie de afgelopen tien maanden gevonden en gepatcht en twee de afgelopen maand - XSA-182 is in juli 2016 gerepareerd, XSA-212 in april en XSA-213 op dinsdag.

Een andere overeenkomst is dat ze allemaal van invloed waren op de Xen-geheugenvirtualisatie voor geparavirtualiseerde (PV) VM's. Xen ondersteunt twee soorten virtuele machines: Hardware Virtual Machines (HVM's), die hardware-ondersteunde virtualisatie gebruiken, en geparavirtualiseerde VM's die software-gebaseerde virtualisatie gebruiken.

De andere twee gebreken die dinsdag zijn gepatcht, XSA-214 en XSA-215, hebben ook invloed op geparavirtualiseerde VM's. Het verschil is dat XSA-214 vereist dat twee kwaadaardige gast-VM's samenwerken om toegang te krijgen tot het systeemgeheugen, terwijl XSA-215 alleen van invloed is op "x86-systemen met fysiek geheugen dat zich uitbreidt tot een configuratie-afhankelijke grens van 5 TB of 3,5 TB".

Een beperking voor XSA-213 is dat het alleen kan worden gebruikt door 64-bit PV-gasten, dus systemen die alleen HVM of 32-bit PV-gasten draaien, worden niet beïnvloed.

De Xen-ontwikkelaars hebben patches uitgebracht voor Xen 4.8.x, Xen 4.7.x, Xen 4.6.x en Xen 4.5.x die handmatig kunnen worden toegepast op getroffen systemen.

De open-source Xen-hypervisor wordt gebruikt door veel cloud computing-providers en virtual private server (VPS) -hostingbedrijven, waarvan sommige de patches van tevoren hebben ontvangen en gedwongen waren om downtime voor onderhoud te plannen.

VPS-provider Linode moest bijvoorbeeld een aantal van zijn oudere Xen PV-hosts opnieuw opstarten om de oplossing toe te passen en adviseerde klanten om naar zijn HVM-servers te verhuizen om toekomstige stilstandtijden te voorkomen.

Ondertussen zei Amazon Web Services dat de gegevens en instances van haar klanten niet werden beïnvloed door deze kwetsbaarheden en dat er geen actie van de klant nodig was.

Het Qubes OS-team, dat er trots op is een van de veiligste desktopbesturingssystemen te bouwen, heeft er genoeg van om herhaaldelijk te moeten omgaan met Xen PV-kwetsbaarheden. Daarom heeft het de afgelopen 10 maanden extra werk verzet om de volgende versie van het besturingssysteem - Qubes 4.0 - over te schakelen naar HVM.

"We hadden oorspronkelijk gehoopt dat we konden overgaan op het draaien van alle Linux VM's in een zogenaamde PVH-modus van virtualisatie, waar de I / O-emulator helemaal niet nodig is, maar het bleek dat de Linux-kernel hier nog niet helemaal klaar voor is", Het Qubes-team zei in een analyse van de nieuwste Xen-patches. "Dus, in Qubes 4.0, zullen we de klassieke HVM-modus gebruiken, waarbij de I / O-emulator wordt sandboxed binnen ... een PV VM (wat ook het geval is wanneer men Windows AppVMs op Qubes 3.x uitvoert)."

Het goede nieuws is dat de basis is gelegd om Qubes in de toekomst over te schakelen naar PVH wanneer de Linux-kernel de benodigde ondersteuning toevoegt, en zelfs om Xen volledig te vervangen door iets anders, als er een beter alternatief komt.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.