Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Anzeige

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.


Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

Flying Circus 01. Okt 2007

Zitat: "Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in...

guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Kommentieren



Anzeige

  1. Treasury Controller/-in für Treasury Reporting & Data Management
    Daimler AG, Stuttgart
  2. Prozessmanager E-Commerce / Data Analyst (m/w)
    Home Shopping Europe GmbH, Ismaning Raum München
  3. Wissenschaftliche/-r Referent/-in im Fachbereich "Strahlenschutz und Umwelt"
    Bundesamt für Strahlenschutz | Neuherberg, Neuherberg
  4. Datenbankentwickler (m/w)
    über Jobware Personalberatung, Großraum Hannover

 

Detailsuche


Hardware-Angebote
  1. Seagate Supersale bei Alternate
  2. PREIS-TIPP: SanDisk SDSSDP-128G-G25 SSD 128GB
    49,99€
  3. TIPP: Zotac ZT-90101-10P NVIDIA GeForce GTX970 Grafikkarte
    323,90€

 

Weitere Angebote


Folgen Sie uns
       


  1. The Elder Scrolls Online

    Zenimax sperrt mutmaßlich illegale Nutzerkonten

  2. Sony

    Xperia Z4 erscheint in Deutschland als Xperia Z3+

  3. LTE Advanced Cat 6

    Vodafone bietet 225 MBit/s im LTE-Netz

  4. Google

    Chrome für Android ist nahezu Open Source

  5. Firefox OS

    Für Mozilla ist billig nicht mehr alles

  6. Mozilla

    Beta von Firefox für iOS geplant

  7. Soziales Netzwerk Sociax

    Das Facebook mit mehr Privatsphäre

  8. Velociroach

    Der Roboter mit den schnellsten Schritten

  9. Steuertricks

    Amazon.de will Gewinne in Deutschland versteuern

  10. League of Legends

    Halbautomatische Schnellstrafen für Rassisten



Haben wir etwas übersehen?

E-Mail an news@golem.de



Yubikey: Nie mehr schlechte Passwörter
Yubikey
Nie mehr schlechte Passwörter
  1. Torrent-Tracker Eztv-Macher geben wegen feindlicher Übernahme auf
  2. Arrows NX F-04G Neues Fujitsu-Smartphone scannt die Iris
  3. Unsicheres Plugin Googles Passwort-Warnung lässt sich leicht aushebeln

Maker Faire Bay Area 2015: Die Lust, zu schaffen und zu zerstören
Maker Faire Bay Area 2015
Die Lust, zu schaffen und zu zerstören
  1. Materialforschung Forscher 3D-drucken Graphen-Aerogel
  2. General Electric Flugzeugtriebwerk erhält Bauteil aus 3D-Drucker
  3. 3D-Drucker im Lieferwagen Amazon will Waren auf dem Weg zum Kunden produzieren

Golem.de-Test mit Kaspersky: So sicher sind Fototerminals und Copyshops
Golem.de-Test mit Kaspersky
So sicher sind Fototerminals und Copyshops
  1. Malware Blackcoffee nutzt Forum für C&C-Vermittlung
  2. United Airlines Mit Bug Bounties um die Welt reisen
  3. Studie Die Smart City ist intelligent, aber angreifbar

  1. Re: Studie...

    RaZZE | 15:47

  2. Re: ~92$ pro spender

    Skaarah | 15:47

  3. Re: Die Serie findet generell zu wenig Beachtung...

    mbirth | 15:46

  4. Re: Star citizen vaporware.

    Skaarah | 15:44

  5. Re: Beim Zoll ähnlich

    Moe479 | 15:44


  1. 15:22

  2. 13:57

  3. 13:45

  4. 13:13

  5. 12:54

  6. 12:31

  7. 12:07

  8. 12:05


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel