Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Anzeige

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.


Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

Flying Circus 01. Okt 2007

Zitat: "Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in...

guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Kommentieren



Anzeige

  1. SPS-Programmierer (m/w) Steuerungstechnik
    MüKo Maschinenbau GmbH, Weinstadt
  2. Softwareentwickler/in
    HELBAKO GmbH, Heiligenhaus
  3. Softwareentwickler C# / .Net (m/w)
    Müller-BBM AST GmbH, Planegg/München
  4. Testingenieur/in Software und Systeme
    MOBIL ELEKTRONIK GMBH, Langenbrettach

 

Detailsuche


Top-Angebote
  1. NEU: Gewinnspiel zum 20. Geburtstag der PlayStation
    (Teilnahme über Kauf eines PSN-Code im Wert von über 30 EUR)
  2. TIPP: Amazon Last-Minute-Angebote Tag 9: Games, Blu-ray, Technik u. v. m.
  3. NEU: StarCraft II: Heart of the Swarm (Add-On)
    12,87€

 

Weitere Angebote


Folgen Sie uns
       


  1. Zeitserver

    Sicherheitslücken in NTP

  2. Core M-5Y10 im Test

    Kleiner Core M fast wie ein Großer

  3. Guardians of Peace

    Sony-Hack wird zum Politikum

  4. Urheberrecht

    Flickr Wall Art nutzt keine CC-Bilder mehr

  5. Rohrpostzug

    Hyperloop entsteht nach Feierabend

  6. IT-Bereich

    China will ausländische Technik durch eigene ersetzen

  7. Chaton

    Samsung schaltet seinen Messenger ab

  8. Lehrreiche Geschenke

    Stille Nacht, Bastelnacht

  9. Samsung NX300

    Unabhängige Firmware verschlüsselt Fotos

  10. Arbeiter in China

    BBC findet schlechte Arbeitsbedingungen bei Apple-Zulieferer



Haben wir etwas übersehen?

E-Mail an news@golem.de



Netzverschlüsselung: Mythen über HTTPS
Netzverschlüsselung
Mythen über HTTPS
  1. Websicherheit Chrome will vor HTTP-Verbindungen warnen
  2. SSLv3 Kaspersky-Software hebelt Schutz vor Poodle-Lücke aus
  3. TLS-Verschlüsselung Poodle kann auch TLS betreffen

ROM-Ecke: Pac Man ROM - Android gibt alles
ROM-Ecke
Pac Man ROM - Android gibt alles
  1. ROM-Ecke Slimkat - viele Einstellungen und viel Schwarz

Security: Smarthomes, offen wie Scheunentore
Security
Smarthomes, offen wie Scheunentore
  1. Software-Plattform Bosch und Cisco gründen Joint Venture für Smart Home
  2. Pantelligent Die funkende Bratpfanne
  3. Smarthome Das intelligente Haus wird nie fertig

    •  / 
    Zum Artikel