Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Anzeige

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.


Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

Flying Circus 01. Okt 2007

Zitat: "Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in...

guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Kommentieren




Anzeige

  1. Mitarbeiter in der Beratung (m/w) Prozesse und Methoden Produktdatenmanagement
    Daimler AG, Stuttgart-Untertürkheim
  2. Software-Architekturentwickl- ung für Rückfahrkamerasysteme (m/w)
    Robert Bosch GmbH, Leonberg
  3. System Engineer - Cloud Computing (m/w) - Schwerpunkt LAMP-Stack
    Syzygy Deutschland GmbH, Bad Homburg bei Frankfurt am Main
  4. IT-Spezialist (m/w) Schwerpunkt Support
    medienfabrik Gütersloh GmbH, Gütersloh

 

Detailsuche


Folgen Sie uns
       


  1. iFixit

    Amazon Fire Phone ist nur schlecht zu reparieren

  2. Entwicklerstudio

    Crytek räumt finanzielle Probleme ein

  3. M-net

    Über 390 Kilometer Glasfaserkabel verlegt

  4. Bioelektronik

    Pilze sind die besten Zellschnittstellen

  5. Deanonymisierung

    Russland bietet 83.000 Euro für Enttarnung von Tor-Nutzern

  6. MyGlass

    Google-Glass-App offiziell in Deutschland verfügbar

  7. Google

    Youtube und der falsche Zeitstempel

  8. Western Digital

    Erste günstige 6-TByte-Festplatten sind verfügbar

  9. Projekt Baseline

    Google misst den menschlichen Körper aus

  10. IMHO

    Share Economy regulieren, nicht verbieten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Überwachungssoftware: Ein warmes Mittagessen für den Staatstrojaner
Überwachungssoftware
Ein warmes Mittagessen für den Staatstrojaner
  1. Ex-CIA-Deutschlandchef Wir konnten Schröder leider nicht abhören
  2. Überwachung NSA-Ausschuss erwägt Einsatz mechanischer Schreibmaschinen
  3. Kontrollausschuss Die Angst der Abgeordneten, abgehört zu werden

Smartphone-Hersteller Xiaomi: Wie Apple, nur anders
Smartphone-Hersteller Xiaomi
Wie Apple, nur anders
  1. Flir One Wärmebildkamera fürs iPhone lieferbar
  2. Per Smartphone Paypal ermöglicht Bezahlen in Restaurants landesweit
  3. Datenübertragung Smartphone-Kompass spielt Musik durch Magnetkraft

Nvidia Shield Tablet ausprobiert: Schnelles Spiele-Tablet für Android mit WLAN-Controller
Nvidia Shield Tablet ausprobiert
Schnelles Spiele-Tablet für Android mit WLAN-Controller
  1. Tegra K1 Start von Nvidias Shield Tablet zeichnet sich ab
  2. GM200 und GM204 Nvidias große Maxwell-GPUs zeigen sich beim Zoll
  3. Dual-GPU-Grafikkarte EVGA macht Titan-Z schmaler und leiser als Nvidia

    •  / 
    Zum Artikel