Il progetto Xen rivela una grave vulnerabilità che influisce sui server virtualizzati

Il progetto Xen ha rivelato i dettagli di una grave vulnerabilità nell'hypervisor Xen che potrebbe mettere a rischio la sicurezza di molti server virtualizzati.

Xen è un hypervisor gratuito e open source utilizzato per creare ed eseguire macchine virtuali. È ampiamente utilizzato dai fornitori di cloud computing e dalle società di hosting di server privati ​​virtuali.

La vulnerabilità di sicurezza, che è stata tracciata come CVE-2014-7188 ed è stata anticipatamente divulgata ai principali fornitori di servizi cloud, ha costretto almeno Amazon Web Services e Rackspace a riavviare alcuni dei server virtualizzati dei loro clienti nell'ultima settimana.

Il problema consente a una macchina virtuale creata utilizzando la virtualizzazione assistita da hardware (HVM) di Xen di leggere i dati memorizzati da altri guest HVM che condividono lo stesso hardware fisico. Ciò rompe un'importante barriera di sicurezza in ambienti virtuali multi-tenant.

Un ospite HVM dannoso può anche sfruttare il difetto per arrestare il server host, ha detto il progetto Xen in un avviso di sicurezza pubblicato mercoledì.

La vulnerabilità riguarda solo Xen in esecuzione su sistemi x86, non ARM, e non influisce sui server virtualizzati con la modalità di paravirtualizzazione (PV) di Xen invece di HVM.

Tuttavia, è probabile che il problema riguardi un numero molto elevato di server. Amazon è stato costretto a riavviare fino al 10% dei suoi server Elastic Cloud Compute (EC2) negli ultimi giorni per applicare la patch e lo sforzo simile di Rackspace ha interessato un quarto dei suoi 200.000 clienti.

Amazon ha pianificato i suoi riavvii in modo che non influissero su due regioni o zone di disponibilità contemporaneamente.

"I riavvii zona per zona sono stati completati come previsto e abbiamo lavorato a stretto contatto con i nostri clienti per garantire che i riavvii si svolgessero senza problemi per loro", ha dichiarato la società mercoledì in un post sul blog.

Le cose non sono andate così bene per Rackspace il cui CEO, Taylor Rhodes, ha ammesso in una e-mail inviata martedì ai clienti che la società "ha lasciato cadere alcune palle" nel processo di gestione della vulnerabilità.

"Alcuni dei nostri riavvii, ad esempio, hanno richiesto molto più tempo di quanto dovrebbero", ha detto Rhodes. "E alcune delle nostre notifiche non erano così chiare come avrebbero dovuto essere. Stiamo apportando modifiche per correggere tali errori. "

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.