Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Anzeige

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.


Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

Flying Circus 01. Okt 2007

Zitat: "Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in...

guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Kommentieren



Anzeige

  1. Verantwortliche/r für Prozesse und deren Dokumentation im Bereich SAP ERP
    Joseph Vögele AG, Ludwigshafen
  2. Teamleiter E/E (m/w)
    MBtech Group GmbH & Co. KGaA, Mannheim
  3. Mitarbeiter IT-Support (m/w)
    Isar Kliniken GmbH, München
  4. Projekt­inge­nieur (m/w)
    inspectomation GmbH, Mannheim

 

Detailsuche


Hardware-Angebote
  1. Dell 24-Zoll-Ultra-HD-Monitor
    ab 378,99€
  2. NEU: Raidmax Blackstorm Green
    64,99€
  3. PCGH-Supreme-PC GTX980-Edition
    (Core i7-4790K + Geforce GTX 980)

 

Weitere Angebote


Folgen Sie uns
       


  1. Privatsphäre im Netz

    Open-Source-Projekte sollen 1984 verhindern

  2. The Witcher 3 angespielt

    Geralt und die "Mission Bratpfanne"

  3. Onlinehandel

    Welche Versand-Flatrates sich nicht lohnen

  4. Jessie

    Erster Release Candidate für neuen Debian-Installer

  5. Biicode

    Abhängigkeitsverwaltung für C/C++ soll Open Source werden

  6. Mobilfunk

    O2 schaltet LTE-Nutzung für alle Blue-Tarife frei

  7. Broadwell-Mini-PC

    Gigabytes Brix ist noch kompakter als Intels NUC

  8. Cyanogen Inc.

    "Wir versuchen, Google Android wegzunehmen"

  9. Dobrindt

    A9 soll Teststrecke für selbstfahrende Autos werden

  10. Spionage oder Imageaufwertung?

    Deutsche Behörden nennen es Social Media Intelligence



Haben wir etwas übersehen?

E-Mail an news@golem.de



In eigener Sache: Golem pur - eine erste Bilanz
In eigener Sache
Golem pur - eine erste Bilanz
  1. Internet im Flugzeug Gogo benutzt gefälschte SSL-Zertifikate für Youtube
  2. Golem.de 2014 Ein Blick in unsere Zahlen
  3. In eigener Sache Schöne Feiertage!

Filmkritik: In Blackhat steht die Welt am Abgrund
Filmkritik
In Blackhat steht die Welt am Abgrund
  1. Cyberwaffe NSA-Tool Regin im Kanzleramt entdeckt
  2. Rocket Kitten Die Geschichte einer Malware-Analyse
  3. Cyberwaffe Attacke auf EU-Kommission wohl mit NSA- und GCHQ-Tool Regin

Red Star ausprobiert: Das Linux aus Nordkorea
Red Star ausprobiert
Das Linux aus Nordkorea
  1. Tamil Driver Freier Treiber für ARMs Mali-T-GPUs entsteht
  2. Linux-Jahresrückblick 2014 Umbauarbeiten, Gezanke und Container
  3. Geforce 347.09 Nvidia-Treiber für Elite Dangerous und Metal Gear Solid V

    •  / 
    Zum Artikel