Xen Project onthult ernstige kwetsbaarheid die van invloed is op gevirtualiseerde servers

Het Xen-project heeft de details onthuld van een ernstige kwetsbaarheid in de Xen-hypervisor die de beveiliging van veel gevirtualiseerde servers in gevaar zou kunnen brengen.

Xen is een gratis, open source hypervisor die wordt gebruikt om virtuele machines te maken en uit te voeren. Het wordt veel gebruikt door cloud computing-providers en virtual private server-hostingbedrijven.

Het beveiligingsprobleem, dat wordt bijgehouden als CVE-2014-7188 en van tevoren privé werd bekendgemaakt aan grote cloudproviders, dwong ten minste Amazon Web Services en Rackspace om enkele van de gevirtualiseerde servers van hun klanten de afgelopen week opnieuw op te starten.

Door het probleem kan een virtuele machine die is gemaakt met Xen's hardware-assisted virtualization (HVM) gegevens lezen die zijn opgeslagen door andere HVM-gasten die dezelfde fysieke hardware delen. Dit doorbreekt een belangrijke veiligheidsbarrière in virtuele omgevingen met meerdere tenants.

Een kwaadwillende HVM-gast kan de fout ook misbruiken om de hostserver te laten crashen, aldus het Xen-project in een beveiligingsadvies dat woensdag is gepubliceerd.

Het beveiligingslek treft alleen Xen die op x86-systemen draait, niet ARM, en heeft geen invloed op servers die zijn gevirtualiseerd met Xen's paravirtualisatie (PV) -modus in plaats van HVM.

Toch zal het probleem waarschijnlijk een zeer groot aantal servers treffen. Amazon werd gedwongen om tot 10 procent van zijn Elastic Cloud Compute (EC2) -servers de afgelopen dagen opnieuw op te starten om de patch toe te passen en Rackspace's vergelijkbare inspanning trof een kwart van zijn 200.000 klanten.

Amazon heeft het opnieuw opstarten gepland, zodat ze niet tegelijkertijd van invloed waren op twee regio's of beschikbaarheidszones.

"Het herstarten van de zones per zone werd voltooid zoals gepland en we werkten nauw samen met onze klanten om ervoor te zorgen dat de reboots voor hen soepel verliepen", zei het bedrijf woensdag in een blogpost.

Het ging niet zo soepel voor Rackspace, wiens CEO, Taylor Rhodes, in een e-mail aan klanten dinsdag toegaf dat het bedrijf "een paar ballen heeft laten vallen" in het proces om de kwetsbaarheid aan te pakken.

'Sommige van onze herstarts duurden bijvoorbeeld veel langer dan zou moeten', zei Rhodes. 'En sommige van onze meldingen waren niet zo duidelijk als ze hadden moeten zijn. We brengen wijzigingen aan om die fouten aan te pakken. '

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.