Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Anzeige

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.


Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

Flying Circus 01. Okt 2007

Zitat: "Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in...

guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Kommentieren



Anzeige

  1. Java Software Developer (m/w)
    afb Application Services AG, München
  2. SAP-Projektleiter im Logistikumfeld (m/w)
    SSI Schäfer Noell GmbH, Giebelstadt, Dortmund
  3. IT-Architekt Engineering für das Team Enterprise Architecture Management & Governance
    Daimler AG, Böblingen
  4. Leiter/in für die Gruppe Elektronischer Datenaustausch (EDA)
    Deutsche Gesetzliche Unfallversicherung, Sankt Augustin

 

Detailsuche


Hardware-Angebote
  1. NEU: PCGH-Performance-PC Fury-X-Edition
    (Core i7-4790K + AMD Radeon R9 Fury X)
  2. ARLT-Sale
    (Restposten, Rücksendungen und Gebrauchtware)
  3. PCGH-Extreme-PC GTX980Ti-Edition
    (Core i7-5820K + Geforce GTX 980 Ti)

 

Weitere Angebote


Folgen Sie uns
       


  1. Bundesverkehrsministerium

    Schnelle E-Bikes sollen auf Radwegen fahren

  2. Oneplus-One-Nachfolger

    Neues Oneplus Two wird ab 340 Euro kosten

  3. Spionagesoftware

    Der Handel des Hacking Teams mit Zero-Days

  4. In eigener Sache

    Preisvergleich bei Golem.de

  5. Akademy 2015

    Plasma Mobile hilft KDE bei der Wayland-Umsetzung

  6. Arrow Launcher ausprobiert

    Der Android-Launcher von Microsoft

  7. Bug bei Notebooks mit Intel-Chips

    Zehn Prozent weniger Akkulaufzeit mit Windows 10

  8. SE370

    Samsungs neue Displays laden Smartphones drahtlos auf

  9. Microsoft

    Die Neuerungen von Windows 10

  10. Linux-Distributionen

    Opensuse Leap 42.1 erhält aktuellen Linux-Kernel 4.1



Haben wir etwas übersehen?

E-Mail an news@golem.de



Simulus QR-X350.PRO im Test: Der Quadcopter, der vom Himmel fiel
Simulus QR-X350.PRO im Test
Der Quadcopter, der vom Himmel fiel
  1. Luftzwischenfall Beinahekollision zwischen Lufthansa-Flugzeug und Drohne
  2. Paketdienst Drohne liefert in den USA erstmals Medikamente aus
  3. Bewaffneter Copter Video zeigt selbst gebaute Kampfdrohne

OCZ Trion 100 im Test: Macht sie günstiger!
OCZ Trion 100 im Test
Macht sie günstiger!
  1. PM863 Samsung packt knapp 4 TByte in ein flaches Gehäuse
  2. 850 Evo und Pro Samsung veröffentlicht erste Consumer-SSDs mit 2 TByte
  3. TLC-Flash Samsung plant SSDs mit 2 und 4 TByte

Broadwell-C im Test: Intels Spätzünder auf Speed
Broadwell-C im Test
Intels Spätzünder auf Speed
  1. Core i7-5775C im Kurztest Dank Iris Pro Graphics und EDRAM überraschend flott
  2. Prozessor Intels Broadwell bietet die schnellste integrierte Grafik
  3. Prozessor Intels Broadwell Unlocked wird teuer

  1. Tippfehler bei Auflösung?

    scr1tch | 07:40

  2. Re: noch ein paar mehr Absätze

    exxo | 07:39

  3. Re: Es gibt zu viele Idioten in diesem Land

    Niaxa | 07:39

  4. Re: Schon die Entwertung der Sicherheitslücken ...

    Helites | 07:38

  5. Re: Verbindung Abo-Forum

    david_rieger | 07:34


  1. 07:48

  2. 05:00

  3. 18:15

  4. 16:44

  5. 15:15

  6. 14:45

  7. 13:04

  8. 12:40


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel