Xen Project herstelt ernstige ontsnappingsfouten in virtuele machines

Het Xen-project heeft vier kwetsbaarheden verholpen in de veelgebruikte virtualisatiesoftware, waarvan er twee mogelijk zouden kunnen maken dat kwaadwillende beheerders van virtuele machines hostservers overnemen.

Gebreken die de isolatielaag tussen virtuele machines doorbreken, zijn de meest ernstige vorm voor een hypervisor zoals Xen, waarmee gebruikers op een veilige manier meerdere VM's op dezelfde onderliggende hardware kunnen uitvoeren.

De Xen-hypervisor wordt veel gebruikt door cloud computing-providers en virtual private server-hostingbedrijven zoals Linode, die de afgelopen dagen een aantal van zijn servers opnieuw moesten opstarten om de nieuwe patches toe te passen.

De Xen-updates, die vooraf met partners werden gedeeld, werden donderdag openbaar vrijgegeven, samen met bijbehorende beveiligingswaarschuwingen.

Een kwetsbaarheid geïdentificeerd als CVE-2016-7093 treft Hardware Virtual Machines (HVM's) die hardware-ondersteunde virtualisatie gebruiken. Hiermee kan een beheerder van een gastbesturingssysteem zijn privilege naar dat van de host escaleren.

Het beveiligingslek treft Xen-versies 4.7.0 en hoger, evenals Xen-releases 4.6.3 en 4.5.3, maar alleen die implementaties met HVM-gasten die op x86-hardware draaien.

Een ander probleem met de escalatie van bevoegdheden, geïdentificeerd als CVE-2016-7092, heeft gevolgen voor het andere type virtuele machines dat wordt ondersteund door Xen: geparavirtualiseerde (PV) VM's. Het beveiligingslek treft alle Xen-versies en stelt beheerders van 32-bits PV-gasten in staat om privileges op de host te krijgen.

De twee andere gepatchte kwetsbaarheden, CVE-2016-7154 en CVE-2016-7094, kunnen door gastbeheerders worden misbruikt om denial-of-service-voorwaarden op de host te veroorzaken. In het geval van CVE-2016-7154, dat alleen Xen 4.4 treft, kan uitvoering van externe code en escalatie van bevoegdheden niet worden uitgesloten, zei het Xen-project in een advies.

Ondertussen beïnvloedt CVE-2016-7094 alle versies van Xen, maar alleen implementaties die HVM-gasten hosten op x86-hardware die is geconfigureerd om te worden uitgevoerd met schaduwpaging.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.