Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Anzeige

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.


Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

Flying Circus 01. Okt 2007

Zitat: "Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in...

guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Kommentieren



Anzeige

  1. Rollout Applikateur (m/w)
    Bosch Communication Center Magdeburg GmbH, Magdeburg
  2. Usability Engineer (m/w)
    OMICRON electronics GmbH, Klaus (Österreich)
  3. Oracle Entwickler/in
    NKK Programm Service AG, Regensburg
  4. Software-Entwickler .NET (m/w)
    SYSTECS Informationssysteme GmbH, Leinfelden-Echterdingen

 

Detailsuche


Spiele-Angebote
  1. Assassins Creed I - IV - Complete Edition [PC Download Bundle]
    40,97€
  2. The Order: 1886 (uncut) Steelbook - [PlayStation 4]
    69,95€
  3. VORBESTELLBAR: FINAL FANTASY X/X-2 HD Remaster PS4
    49,99€ Release 15.05.

 

Weitere Angebote


Folgen Sie uns
       


  1. Steam Machines

    Von A wie Alienware bis Z wie Zotac

  2. Steam Controller ausprobiert

    Konkurrenz für WASD und Maus

  3. Fujitsu Laboratories

    Software wertet Bewegungen auf schlechten Videos aus

  4. Spionage

    Auf der Jagd nach einem Gespenst

  5. Bundesnetzagentur

    Telefónica klagt gegen Mobilfunkauktion

  6. Vivaldi-Browser

    Neue Technical Preview bringt Verbesserungen

  7. TLS-Schwachstelle

    Freak-Angriff auch unter Windows möglich

  8. Apple

    iPad Pro soll mit USB 3.0 und Maussteuerung kommen

  9. Harmonix

    Rock Band 4 mit Gitarre und Schlagzeug

  10. Patentanmeldung

    Apple will iPhone wasserdicht machen



Haben wir etwas übersehen?

E-Mail an news@golem.de



Wolfenstein: Jagd auf Rudi und Helga
Wolfenstein
Jagd auf Rudi und Helga

Lenovo Vibe Shot im Hands On: Überzeugendes Kamera-Smartphone für 350 US-Dollar
Lenovo Vibe Shot im Hands On
Überzeugendes Kamera-Smartphone für 350 US-Dollar
  1. Adware Lenovo-Laptops durch Superfish-Adware angreifbar
  2. Lenovo Tab S8-50F im Test Uns stinkt's!
  3. Lenovo Anypen Auf dem Touchscreen mit beliebigem Stift schreiben

BQ Aquaris E4.5 angesehen: Das erste Ubuntu-Smartphone macht Lust auf mehr
BQ Aquaris E4.5 angesehen
Das erste Ubuntu-Smartphone macht Lust auf mehr
  1. Aquaris E4.5 Canonical bringt das erste Ubuntu-Smartphone - schubweise

  1. Re: CarPlay dann in meinem i3?

    azeu | 13:30

  2. Re: Kein Akku?

    Kirinkun | 13:29

  3. Bin ich auch. :P

    der_wahre_hannes | 13:27

  4. Re: Wozu?! Es gibt Pages, Numbers und Notes

    Trollversteher | 13:27

  5. BMW i3, so wie man es NICHT machen sollte

    azeu | 13:26


  1. 12:39

  2. 12:04

  3. 11:55

  4. 11:36

  5. 11:27

  6. 10:30

  7. 09:07

  8. 08:16


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel