Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Anzeige

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.


Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

Flying Circus 01. Okt 2007

Zitat: "Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in...

guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Kommentieren



Anzeige

  1. IT-Anwendungsbetreuer/in System- und Netzwerktechnik
    Große Kreisstadt Freising, Freising
  2. Mitarbeiter in der Beratung (m/w) Application Management
    Daimler AG, Untertürkheim
  3. SAP SD/PS Applikationsberater (m/w) Schwerpunkt Konzeption und Realisierung
    Dürr IT Service GmbH, Bietigheim-Bissingen
  4. IT-Ingenieurinnen/IT-Ingenie- ure
    Landeshauptstadt München, München

 

Detailsuche


Top-Angebote
  1. VORBESTELLBAR: Xbox One 1TB Limited Edition inkl. Forza Motorsport 6
    449,00€ - Release 18.09.
  2. NEU: Child of Light [PC Uplay Code]
    13,99€
  3. NEU: Blu-rays je 5 EUR
    (u. a. John Dies at the End, Odd Thomas, Ong-Bak, Daybreakers, The Guard)

 

Weitere Angebote


Folgen Sie uns
       


  1. 20 Jahre

    Amazon kündigt Sonderangebote nur für Prime-Mitglieder an

  2. Spionagesoftware

    Hacking Team von Unbekannten gehackt

  3. Nexus 5 (2015)

    Weitere Details zu LGs nächstem Nexus-Smartphone

  4. Lollipop

    Android 5.1.1 erreicht Galaxy-S6-Modelle in Deutschland

  5. Betriebssysteme

    Mehr Code in Linux 4.2rc1 als je zuvor

  6. Fehler bei Microsoft

    Previews von Windows 10 lassen sich nicht aktivieren

  7. Spieleentwicklung

    "Free-to-Play ist das beste Geschäftsmodell für E-Sport"

  8. Hohe Reichweite

    5er BMW mit Wasserstoffantrieb kommt 500 km weit

  9. Patentantrag

    Apple Pay von Nutzer zu Nutzer denkbar

  10. Euro

    Griechische Nutzer bei Paypal, iTunes und Amazon ausgesperrt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Musik-Streaming-Dienste: Apple Music klingt wie alle anderen
Musik-Streaming-Dienste
Apple Music klingt wie alle anderen
  1. Apple Music iCloud verpasst der eigenen Musik einen Kopierschutz
  2. Apple Music Beats 1 kann auch mit Android-Geräten gehört werden
  3. Musik-Streaming Apple einigt sich offenbar mit Indie-Labels

BND-Selektorenaffäre: Die Hasen vom Bundeskanzleramt
BND-Selektorenaffäre
Die Hasen vom Bundeskanzleramt
  1. Ex-Minister Pofalla NSA-Affäre war doch nicht beendet
  2. BND-Sonderermittler Graulich Zen-Buddhist mit Billig-Smartphone und Virenscanner
  3. Innenminister de Maizière "BND ist zu 100 Prozent für Fehler verantwortlich"

Intel Compute Stick im Test: Der mit dem Lüfter streamt
Intel Compute Stick im Test
Der mit dem Lüfter streamt
  1. Management Intel-Präsidentin tritt zurück und Mobile-Chef muss gehen
  2. FPGAs Intel wird Kauf von Altera heute ankündigen
  3. FPGAs Intel will FPGA-Experten Altera doch noch kaufen

  1. Re: ... zu spät ...

    NaruHina | 11:14

  2. Re: Merkt Euch das gut...

    sofries | 11:13

  3. Re: Und wenn man den eigenen Provider nach der...

    plutoniumsulfat | 11:13

  4. der IWF muss Durck ausüben, diese Linkspartei ist...

    devman | 11:13

  5. Re: Diese Firmen braucht man nicht

    miauwww | 11:12


  1. 10:46

  2. 10:37

  3. 10:20

  4. 10:00

  5. 09:38

  6. 09:24

  7. 09:05

  8. 08:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel