Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Anzeige

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.

Kommentarübersicht
Re: Köstlich!
Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

pygrub hat das Problem
se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

Köstlich!
Flying Circus 01. Okt 2007

Zitat: "Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in...

wenig kritisch?
guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

Re: nicht kritisch?
cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Kommentieren

Trackbacks
Anzeige
Stellenmarkt
  1. Projektmanager für Webapplikationen (m/w)
    Information Factory Deutschland GmbH, Nürnberg
  2. Head Technical Customer Implementation (m/w)
    Wirecard Technologies GmbH, Aschheim bei München
  3. Softwareentwickler/in Java / JEE
    BBF GmbH, München
  4. Software Ingenieur Safety (m/w)
    infoteam Software AG, Bubenreuth bei Erlangen oder Dortmund

 

Detailsuche

Folgen Sie uns
       
Videos
The Liberator - Defense Distributed The Liberator - Defense Distributed
Ticker
  1. Microsoft

    Xbox One mit neuer Kinect und Blu-ray-Laufwerk

  2. Datennetz

    Bundesweite Störung beim mobilen Internet der Telekom

  3. Heavy Gear Assault

    Mech-Action auf Basis der Unreal Engine 4

  4. Superkondensator

    Neuer Energiespeicher mit kurzer Ladezeit

  5. Ruckus Wireless

    Telefonzellen werden zu Gratis-Hotspots

  6. Engine

    Unity-Basis kostenlos mit Mobile-Werkzeugen

  7. Drosselung

    Ein Drittel aller Filme wird als Video-on-Demand geliehen

  8. Wikileaks

    Wau-Holland-Stiftung kann nur noch die Server bezahlen

  9. Surface Pro im Test

    Microsofts Tablet überzeugt als Notebook

  10. Briefkastenfirmen

    Apple ist "einer der größten Steuervermeider" der USA

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
OLED
LG: Flexibles OLED für gewölbte Smartphones
LG
Flexibles OLED für gewölbte Smartphones

LG hat ein OLED-Display mit 5 Zoll großer Diagonale präsentiert, das flexibel ist und damit den Weg für gewölbte Smartphones freimacht. Auch ein 7 Zoll großes Display mit Full-HD-Auflösung in herkömmlicher LCD-Technik gehört zu den Neuheiten.

  1. Lotus XT Glas Neues Corning-Schutzglas für 2 Meter breite Bildschirme
  2. Smartphone Google bringt Galaxy S4 mit purem Android
  3. LG 55EA9800 Gebogener OLED-Fernseher mit 55 Zoll ist serienreif
Google Wallet
Bezahldienst: Google Checkout wird eingestellt
Bezahldienst
Google Checkout wird eingestellt

Google stellt seinen Zahlungsdienst Checkout in sechs Monaten ein. Anbieter sollen stattdessen auf Google Wallet umsteigen.

  1. Google Wallet Geldversand per E-Mail
  2. Messenger iPhone-Nutzer sollen jährlich für Whatsapp zahlen
  3. Instant-Messaging Whatsapp für Blackberry 10 ist da
Cast AR
Cast AR: Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille
Cast AR
Gefeuerte Valve-Entwickler zeigen Räumliche-Objekte-Brille

Zwei ehemalige Valve-Mitarbeiter haben auf einer Entwicklermesse eine revolutionäre AR-Brille gezeigt. Damit sollen sich computergenerierte Objekte räumlich korrekt in die Echtwelt einblenden lassen.

Forumsbeiträge »
  1. Superkondensator Neuer Energiespeicher mit kurzer Ladezeit

    Re: Was sagt uns das?

    DrWatson | 20:08

  2. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: Fein, das mit dem Windows-Kernel.

    debruehe | 20:08

  3. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    Re: Design

    beaver | 20:08

  4. Video: Microsoft Surface Pro - Test

    15" Asus & Toshiba Notebook für 280-300 euros...

    sys64738 | 20:07

  5. Instant Messenger Whatsapp in Deutschland immer beliebter

    Re: Whatsapp ist bei uns der Facebook-Nachfolger

    ChMu | 20:06

Ticker »
  1. Microsoft Xbox One mit neuer Kinect und Blu-ray-Laufwerk

    19:48

  2. Datennetz Bundesweite Störung beim mobilen Internet der Telekom

    19:04

  3. Heavy Gear Assault Mech-Action auf Basis der Unreal Engine 4

    18:51

  4. Superkondensator Neuer Energiespeicher mit kurzer Ladezeit

    18:07

  5. Ruckus Wireless Telefonzellen werden zu Gratis-Hotspots

    16:48

  6. Engine Unity-Basis kostenlos mit Mobile-Werkzeugen

    16:24

  7. Drosselung Ein Drittel aller Filme wird als Video-on-Demand geliehen

    15:04

  8. Wikileaks Wau-Holland-Stiftung kann nur noch die Server bezahlen

    14:17

Zum Artikel