Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Anzeige

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.


Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

Flying Circus 01. Okt 2007

Zitat: "Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in...

guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Kommentieren



Anzeige

  1. (Senior-)Berater (m/w) SAP CRM
    Capgemini Deutschland GmbH, verschiedene Standorte
  2. Software Tools Betreuer (m/w)
    Continental AG, Villingen
  3. Mitarbeiter (m/w) Anwendungsbetreuung Data Warehouse
    Aareon Deutschland GmbH, Mainz
  4. Abteilungsleiter (m/w) IT-Technik, Einkauf und externe IT-Entwicklungen
    Fonds Finanz Maklerservice GmbH, München

 

Detailsuche


Folgen Sie uns
       


  1. Amazon

    Der neue Kindle Voyage hat 300 ppi

  2. iPad Air 2 und iPad Mini 3

    Im Oktober sollen neue Apple-Produkte kommen

  3. Watchever und Dropbox

    Einige Apps haben Probleme mit iOS 8

  4. Apples iOS 8 im Test

    Das mittelmäßigste Release aller Zeiten

  5. Online-Handel

    Bei externen Händlern mit Amazon-Konto einkaufen

  6. Digitale Verwaltung 2020

    E-Mail soll Briefe und Amtsbesuche ersetzen

  7. Sony

    Erwarteter Verlust wegen Mobilsparte mehr als viermal höher

  8. Satoshi Nakamoto

    Wikileaks sollte auf Bitcoin verzichten

  9. UI-Framework

    Digias Qt wird zur Qt-Company

  10. Microsoft

    PC-Version des Xbox-One-Controllers angekündigt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Physik: Zeitreisen ohne Paradoxon
Physik
Zeitreisen ohne Paradoxon
  1. Gehirnforschung Licht programmiert Gedächtnis um
  2. Neues Instrument Holometer Ist unser Universum zweidimensional?
  3. Sofia Der fliegende Blick durch den Staub

Doppelmayr-Seilbahn: Boliviens U-Bahn der Lüfte
Doppelmayr-Seilbahn
Boliviens U-Bahn der Lüfte

Intel Core i7-5960X im Test: Die PC-Revolution beginnt mit Octacore und DDR4
Intel Core i7-5960X im Test
Die PC-Revolution beginnt mit Octacore und DDR4
  1. Rory Read AMDs neue x86-Architektur Zen kommt 2015
  2. Intels Desktop-Chefin im Interview "Wir hatten unsere loyalsten Kunden frustriert"
  3. Intel Core i7-5960X X99-Mainboards angebrannt

    •  / 
    Zum Artikel