XEN虚似机监管器出現“致命”系统漏洞

2020-10-15


XEN虚似机监管器出現“致命”系统漏洞


XEN虚似机监管器出現“致命”系统漏洞 XEN1向以高特性、占有資源少著称,获得了IBM、AMD、HP、Red Hat和Novell等诸多全球级硬软件厂商的高宽比认同和全力适用,很多中国外企工作客户用XEN来构建高特性的虚似化服务平台。但是,XEN最近被指出1个“致命”系统漏洞。

XEN1向以高特性、占有資源少著称,获得了IBM、AMD、HP、Red Hat和Novell等诸多全球级硬软件厂商的高宽比认同和全力适用,很多中国外企工作客户用XEN来构建高特性的虚似化服务平台。但是,XEN最近被指出1个 致命 系统漏洞。

来自Quarkslab的安全性权威专家J r mie Boutoille说,他早已在Xen虚似机监管器上发现了1个重要系统漏洞,该系统漏洞会致使潜伏的管理权限提高风险性。

应用x86硬件配置的半虚似化(PV)客户必须留意:该系统漏洞版本号已明确为CVE⑵016⑹258,而且可以危害Xen的全部版本号。硬件配置虚似机(HVM)和ARM的客户则不用担忧。

科学研究人员在Xenbits网站上传出公示: 只运作硬件配置虚似机(HVM)的客户能防止这1系统漏洞。

系统漏洞基本原理

Xen服务平台PV方式下运作的虚似机被公布存在管理权限提高系统漏洞。当考虑1定标准,用于操纵认证页表的编码可被绕开,致使PV方式下的一般客户(如Guest)可以使用非常页表投射管理权限再次界定可写入的投射。因为系统漏洞造成缘故为页表关系管理权限绕开,即便在Xen系统软件配备 allowsuperpage 指令行选项为 否 的状况下也会遭受系统漏洞的危害。综合性运用系统漏洞,可提高一般客户管理权限,进而操纵全部虚似机系统软件,组成客户主机数据信息泄露风险性。

系统漏洞补钉

Qubes实际操作系统软件(Qubes充足运用了虚似化技术性(根据安全性虚似机Xen))的开发设计者 知名的波兰女网络黑客Joanna Rutkowska说:

该系统漏洞是致命的。外部在短期内内就XEN PV虚似化控制模块编码再度出現系统漏洞开展了公布探讨,网络黑客可以根据Xsa⑴82系统漏洞彻底操纵运作在xen上的虚似机。大家不容易由于早已进行的补钉而随便忘却这个系统漏洞。



扫描二维码分享到微信

在线咨询
联系电话

400-888-8866