关键Xen虚拟机管理程序漏洞危及虚拟化环境 Micron今年晚些时候发货英特尔Optane竞争对手 为什么亚波柱管理员和邮局在高等法院争取它 Platinum的动漫动作游戏Astral Chain看起来像地狱一样恶心 《 Samurai Gunn 2》将于明年前往Switch-ward 在重新发行的益智平台游戏《任天堂Switch上的Mutant Blobs Attack》中吞噬世界 如何使用PokéBall Plus,在Pokémon上获得Mew:出发,赶上神奇宝贝GO 数据挖掘者称,可能有22款SNES游戏即将切换到在线游戏 DNS攻击成本金融公司每年数百万英镑 Facebook的Caffe2 AI工具来到iPhone,Android和Raspberry PI 2018年前10名北欧IT故事 超级粉碎兄弟终极技巧,秘籍-特里·博加德(Terry Bogard) Party Hard让您在旅途中谋杀邻居 明年,当《无题的鹅》游戏登陆Nintendo Switch时,扮演一个可怕的鹅 查看亚马逊惊人的网络星期一开关交易 《 Oceanhorn 2完整演练》第9部分-源,井房,高级哲学家,逃脱监狱,原型Spiderbot 如何从Pok?mon GO转到Pok ?? mon:去吧,皮卡丘/伊芙 Apple推出具有Touch ID的超薄iPad Air 2 如何在动物穿越中扫描QR码并共享设计:新视野 复杂而紧张的机械装置难题器《机械物语》将帮助您修复机器人朋友 乐高DC超级反派即将对Switch造成破坏 东芝的内存Biz销售吸引了许多,包括苹果 KB 4016240确认:微软的“新建”Windows更新选项会更改 丹麦政府推出广泛的数字服务项目 如果软件吃了一切,是菜单上的网络工程师吗? IBM收购了34bn混合云推动的红帽 帮助统计看起来扩大谁是企业的社交媒体 公共委员会奥克尔·奥尔委员会的前所未有的行动对Facebook非常糟糕 TeleSign想接受Twilio Crunchbase升起了到处送交商业信息 英国消费者威胁到数据泄露反弹 微软在智能手机业务中是吗?这取决于你问谁 芬兰政府宣布研究和开发生态系统 三星击败苹果,因为眼睛转向iPhone 8 银行业领导Ciam创新,说大四 特拉维斯再次罢工:eShop上不再弹出英雄 Devolver Digital展示了猫科动物动力的Metroidvania Gato Roboto Seashine是令人恐惧的,充满诗意的海底游泳,即将登陆iOS和Android 新的《Pokémon剑》和《PokémonShield》细节揭示了Gigantamaxing,版本差异,新的Pokémon Min Min Moveset故障和策略-Super Smash Bros.Ultimate秘籍,技巧,指南 Mario Kart 8 Deluxe现在在UK Switch eShop上非常便宜 肾上腺素浸泡的赛车沥青9:传奇宣布夏季Switch发布 受到漫画启发的纸牌游戏《千与千寻》现已在iPad和Android平板电脑上推出 环保游戏迷Abzu将于本月晚些时候前往Nintendo Switch 《沉没的城市开关》游戏玩法曝光,AI和枪战功能得到改善 [更新] NBA 2K15大满贯凭借其对控制器的支持和更出色的外观进入了iOS 机器人送货服务击中米尔顿凯恩斯的街道 'Gidday Mate!' - 阿特拉斯人欧元远征 俄罗斯人加速使用电子付款后使用更少的现金 委任为技术委员会的妇女百分比持续20年
您的位置:首页 >数据库 >

关键Xen虚拟机管理程序漏洞危及虚拟化环境

广泛使用的Xen管理程序中的一个关键漏洞允许攻击者突破在虚拟机内运行的客户操作系统,并访问主机系统的整个内存。

这是严重违反管理程序强制执行的安全障碍,对客户“虚拟化服务器共享相同的底层硬件的多租户数据中心构成特定威胁。

云计算提供商和虚拟专用服务器托管公司以及QUBES OS等安全的操作系统使用开源Xen管理程序。

[进一步阅读:VMware修补严重虚拟机逃生缺陷]

新的漏洞会影响Xen 4.8.x,4.7.x,4.6.x,4.5.x和4.4.x,并在Xen代码库中存在超过四年。它在2012年12月无意中推出,作为不同问题的修复的一部分。

Xen项目发布了一个补丁星期二,可以手动应用于易受攻击的部署。好消息是,漏洞只能从64位半虚拟的客户机操作系统中利用。

Xen支持两种类型的虚拟机:硬件虚拟机(HVMS),它使用硬件辅助虚拟化和使用基于软件的虚拟化的半虚拟化(PV)VM。基于是否使用PV VM,Xen用户可能会受到影响。

例如,亚马逊Web服务在顾问中表示,其客户“数据和实例不受此漏洞的影响,并且不需要客户行动。同时,虚拟私有服务器提供商Linode必须重新启动其一些传统的Xen服务器才能应用修复程序。

QUBES OS,一个使用Xen将应用程序中的操作系统隔离虚拟机中的操作系统,也提出了一个咨询警告,即攻击其他漏洞的攻击者,例如在浏览器中,可以利用此Xen问题危及整个QUBES系统。

QUBES开发人员已发布用于QUBES 3.1和3.2的修补XEN软件包,并重申其打算在即将到来的QUBES 4.0中完全停止使用Paravirtualization。

允许破坏虚拟机隔离层的漏洞可能对攻击者来说非常有价值。最近的PWN2WOWS HACKING比赛为VMware工作站或Microsoft Hyper-V中的虚拟机逃脱提供了100,000美元的奖励。利用收购公司Zerodium提供高达50,000美元的这种漏洞利用。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。