Xen's zeer kritieke ontsnappingsfout in de virtuele machine krijgt een oplossing

Het Xen-project loste verschillende kwetsbaarheden op in zijn populaire virtualisatiesoftware, waaronder een waarmee potentiële aanvallers kunnen ontsnappen uit een virtuele machine en controle kunnen krijgen over het hostsysteem.

Kwetsbaarheden die de isolatielaag tussen virtuele machines doorbreken, zijn het meest ernstige type voor een hypervisor als Xen, wiens belangrijkste doel is om op een veilige manier meerdere VM's op dezelfde hardware te laten draaien.

De Xen-patches die donderdag zijn uitgebracht, repareren in totaal negen kwetsbaarheden, maar de privilege-escalatie die wordt geïdentificeerd als CVE-2015-7835 is de ernstigste.

Het komt niet door een traditionele programmeerfout, maar door een logische fout in de manier waarop Xen geheugenvirtualisatie implementeert voor PV (geparavirtualiseerde) VM's. PV is een techniek die virtualisatie mogelijk maakt op CPU's die geen hardware-ondersteunde virtualisatie ondersteunen.

Als zodanig kan de fout alleen worden misbruikt door kwaadwillende beheerders van PV-gasten en alleen op x86-systemen, zei het Xen-project in een advies. Xen-versies 3.4 en hoger zijn kwetsbaar.

De kwetsbaarheid, die al 7 jaar bestaat, is 'waarschijnlijk de ergste die we ooit hebben gezien bij de Xen-hypervisor', zei het beveiligingsteam van het Qubes OS Project in zijn eigen advies. Qubes OS vertrouwt op Xen om verschillende taken die door gebruikers worden uitgevoerd in compartimenten in te delen voor meer veiligheid.

'Het is echt schokkend dat zo'n bug al zoveel jaren op de loer ligt in de kern van de hypervisor', zei het beveiligingsteam van Qubes. "Naar onze mening zou het Xen-project hun coderingsrichtlijnen moeten heroverwegen en moeten proberen om met praktijken en misschien aanvullende mechanismen te komen die soortgelijke fouten de hypervisor nooit meer zouden laten plagen (assert-achtige mechanismen misschien?). Anders maakt het hele project geen zinvol, althans voor degenen die Xen willen gebruiken voor beveiligingsgevoelig werk. "

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.