Xen Project corregge gravi difetti di fuga della macchina virtuale

Il progetto Xen ha risolto quattro vulnerabilità nel suo software di virtualizzazione ampiamente utilizzato, due dei quali potrebbero consentire agli amministratori di macchine virtuali dannose di assumere server host.

I difetti che interrompono il livello di isolamento tra le macchine virtuali sono il tipo più grave per un hypervisor come Xen, che consente agli utenti di eseguire più VM sullo stesso hardware sottostante in modo sicuro.

L'hypervisor Xen è ampiamente utilizzato dai fornitori di cloud computing e dalle società di hosting di server privati ​​virtuali come Linode, che negli ultimi giorni ha dovuto riavviare alcuni dei suoi server per applicare le nuove patch.

Gli aggiornamenti di Xen, che sono stati condivisi in anticipo con i partner, sono stati rilasciati pubblicamente giovedì insieme agli advisor di sicurezza.

Una vulnerabilità identificata come CVE-2016-7093 riguarda le macchine virtuali hardware (HVM) che utilizzano la virtualizzazione assistita da hardware. Consente a un amministratore di un sistema operativo guest di aumentare il proprio privilegio a quello dell'host.

La vulnerabilità riguarda Xen versioni 4.7.0 e successive, nonché Xen versioni 4.6.3 e 4.5.3 ma solo quelle distribuzioni con guest HVM in esecuzione su hardware x86.

Un altro difetto di escalation di privilegi identificato come CVE-2016-7092 riguarda l'altro tipo di macchine virtuali supportate da Xen: VM paravirtualized (PV). La vulnerabilità interessa tutte le versioni di Xen e consente agli amministratori dei guest PV a 32 bit di ottenere privilegi sull'host.

Le altre due vulnerabilità corrotte, CVE-2016-7154 e CVE-2016-7094, possono essere sfruttate dagli amministratori guest per causare condizioni di negazione del servizio sull'host. Nel caso di CVE-2016-7154, che riguarda solo Xen 4.4, non è possibile escludere l'esecuzione di codice in modalità remota e l'escalation dei privilegi, secondo il progetto Xen in un avviso.

Nel frattempo, CVE-2016-7094 interessa tutte le versioni di Xen ma solo le distribuzioni che ospitano guest HVM su hardware x86 che sono configurate per funzionare con il paging ombra.

Unisciti alle community di Network World su Facebook e LinkedIn per commentare argomenti che sono importanti.