Xen项目补丁严重的虚拟机逃逸漏洞 远程控制软件,灰鸽子下载
Xen项目补丁严重的虚拟机逃逸漏洞 远程控制软件,灰鸽子下载
这些更新修复一共有四个缺陷,从客户VM两项信息权限提升到主机
Xen项目已经定格在其被广泛采用的虚拟化软件,通过四漏洞,其中两个可能允许恶意的虚拟机管理员接管主机服务器。
这打破虚拟机之间的隔离层的缺陷是最严重的一种用于如Xen管理程序,它允许用户以安全的方式运行相同的底层硬件上的多个虚拟机。
Xen管理程序被广泛的云计算提供商和虚拟专用服务器托管公司,如的Linode,这不得不重新启动它的一些服务器在过去几天应用新补丁使用。
Xen的更新,这与合作伙伴提前共享,公开了周四公布的伴随安全公告一起。
标识为CVE-2016-7093漏洞的一个硬件影响的虚拟机使用其硬件辅助虚拟化(HVMS)。它允许客户机操作系统的管理员以他们的特权升级到主机的。
该漏洞影响的Xen版本4.7.0或更高版本,以及发布的Xen 4.6.3和4.5.3而只用HVM客人在x86硬件上运行这些部署。
标识为CVE-2016-7092的另一个特权提升漏洞影响的其它类型由Xen的支持的虚拟机:半虚拟化(PV)的虚拟机。该漏洞影响所有的Xen版本,并允许32位PV来宾管理员可以在主机上获得特权。
另外两个漏洞,CVE-2016-7154和CVE-2016-7094,可通过guest虚拟机管理员利用来导致主机拒绝服务的条件。在CVE-2016-7154,这不仅影响的Xen 4.4的情况下,远程代码执行和权限升级不能排除,Xen项目在公告中说。
同时,CVE-2016-7094影响的Xen的所有版本,但只部署在配置与影子分页运行x86硬件托管HVM来宾。
页:
[1]