Abo
  • Services:
Anzeige

Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

Anzeige

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.


eye home zur Startseite
Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

blub 01. Okt 2007

boing <- die einzig passende antwort



Anzeige

Stellenmarkt
  1. BRUNATA Wärmemesser GmbH & Co. KG, München
  2. Media-Saturn IT-Services GmbH, Bayern
  3. Katholische Universität Eichstätt-Ingolstadt, Eichstätt
  4. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe


Anzeige
Hardware-Angebote
  1. beim Kauf ausgewählter Gigabyte-Mainboards

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. DNS NET

    Erste Kunden in Sachsen-Anhalt erhalten 500 MBit/s

  2. Netzwerk

    EWE reduziert FTTH auf 40 MBit/s im Upload

  3. Rahmenvertrag

    VG Wort will mit Unis neue Zwischenlösung für 2017 finden

  4. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  5. Kein Internet

    Nach Windows-Update weltweit Computer offline

  6. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  7. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  8. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  9. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  10. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Kosmobits im Test: Tausch den Spielecontroller gegen einen Mikrocontroller!
Kosmobits im Test
Tausch den Spielecontroller gegen einen Mikrocontroller!
  1. HiFive 1 Entwicklerboard mit freiem RISC-Prozessor verfügbar
  2. Simatic IoT2020 Siemens stellt linuxfähigen Arduino-Klon vor
  3. Calliope Mini Mikrocontroller-Board für deutsche Schüler angekündigt

Gigaset Mobile Dock im Test: Das Smartphone wird DECT-fähig
Gigaset Mobile Dock im Test
Das Smartphone wird DECT-fähig

Civilization: Das Spiel mit der Geschichte
Civilization
Das Spiel mit der Geschichte
  1. Civilization 6 Globale Strategie mit DirectX 12
  2. Take 2 GTA 5 saust über die 70-Millionen-Marke
  3. Civilization 6 im Test Nachhilfestunde(n) beim Städtebau

  1. Re: Was aufrüsten für WoW?

    Moe479 | 07:38

  2. Re: Gut

    NaruHina | 07:33

  3. Re: Mehr macht bei EWE eh keinen Sinn

    NaruHina | 07:22

  4. Re: "Preise und Leistungen der Endprodukte sind...

    Hood-Boy | 07:01

  5. Re: Der Hit ist doch aber der Nachtrag

    blaub4r | 06:17


  1. 18:40

  2. 17:30

  3. 17:13

  4. 16:03

  5. 15:54

  6. 15:42

  7. 14:19

  8. 13:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel