Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Anzeige

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.


Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

Flying Circus 01. Okt 2007

Zitat: "Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in...

guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Kommentieren



Anzeige

  1. Systemarchitekt/in Projekt Internet der Dinge
    Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Sachbearbeiterin / Sachbearbeiter für die Arbeitseinheit "Integrationsmanagement und Systemeigneraufgaben SAP und BI"
    Deutsche Bundesbank, Frankfurt am Main
  3. (Junior) Survey Manager (m/w) Beratung Global Marketing Services
    Siemens AG, Mannheim
  4. Systementwickler Software / Hardware (m/w)
    Preh GmbH, Bad Neustadt a.d. Saale

 

Detailsuche


Spiele-Angebote
  1. Battlefield Hardline
    53,99€ USK 18
  2. NUR NOCH HEUTE: Games-Downloads: Angebote der Woche
  3. Metal Gear Solid V: The Phantom Pain PS4
    69,99€ - Release 01.09.

 

Weitere Angebote


Folgen Sie uns
       


  1. Taxi-Dienst

    Uber plant neuen Dienst für Deutschland

  2. Pilotprojekt

    DHL-Paketkasten kommt in Mehrfamilienhäuser

  3. Technical Preview

    Windows 10 erscheint in Kürze für weitere Smartphones

  4. Freie Bürosoftware

    Libreoffice liegt im Rennen gegen Openoffice weit vorne

  5. Smartwatch

    Pebble sammelt über 20 Millionen US-Dollar

  6. Manfrotto

    Winziges LED-Dauerlicht für Filmer und Fotografen

  7. Test Woolfe

    Rotkäppchen schwingt die Axt

  8. Palinopsia Bug

    Das Gedächtnis der Grafikkarte auslesen

  9. Die Woche im Video

    Galaxy S6 gegen One (M9), selbstbremsende Autos und Bastelei

  10. Xbox One

    Firmware-Update bringt Sprachnachrichten auf die Konsole



Haben wir etwas übersehen?

E-Mail an news@golem.de



Mini-Business-Rechner im Test: Erweiterbar, sparsam und trotzdem schön klein
Mini-Business-Rechner im Test
Erweiterbar, sparsam und trotzdem schön klein
  1. Shuttle DS57U Passiver Mini-PC mit Broadwell und zwei seriellen Com-Ports
  2. Broadwell-Mini-PC Gigabytes Brix ist noch kompakter als Intels NUC
  3. Mouse Box Ein Mini-PC in der Maus

Bloodborne im Test: Das Festival der tausend Tode
Bloodborne im Test
Das Festival der tausend Tode
  1. Bloodborne Patch und PC-Petition
  2. Bloodborne angespielt Angsthase oder Nichtsnutz

Jugendliche und soziale Netzwerke: Geh sterben, Facebook!
Jugendliche und soziale Netzwerke
Geh sterben, Facebook!
  1. 360-Grad-Videos und neuer Messenger Facebook zeigt seinen Nutzern Rundumvideos
  2. Urheberrecht Bild-Fotograf zieht Abmahnung zum Facebook-Button zurück
  3. Urheberrecht Abmahnung wegen Nutzung des Facebook-Buttons bei Bild.de

  1. XPS 13 2015 mit Ubuntu auf der Dell Homepage

    us0r2 | 14:23

  2. Re: Bringt nichts, wenn nur DHL-Pakete drin sind

    RipClaw | 14:18

  3. Re: Kickstarter missbraucht...

    MarioWario | 14:18

  4. Re: Uberflüssig

    nostre | 14:12

  5. Re: Bringt alles nichts...

    Mingfu | 14:01


  1. 12:41

  2. 11:51

  3. 09:43

  4. 17:19

  5. 15:57

  6. 15:45

  7. 15:03

  8. 10:55


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel