• IT-Karriere:
  • Services:

Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Artikel veröffentlicht am , Julius Stiebert

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

Stellenmarkt
  1. ConceptPeople consulting gmbh, Hamburg
  2. Deutsche Vermögensberatung AG, Frankfurt am Main

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Zu den Kommentaren springen
Meistgelesen
  1. Messenger
    Blackberry gewinnt Patentstreit gegen Facebook
  2. Disney+
    Deutsche wollen maximal 23 Euro für Streaming ausgeben
  3. Weltraumsimulation
    Die Star-Citizen-Euphorie ist ansteckend
  4. Apple-Betriebssysteme
    Ein Upgrade mit Schmerzen
  5. Arbeitsklima
    Schlangengrube Razer
Anzeige
Hardware-Angebote
  1. 555,55€ (zzgl. Versandkosten)
  3. (reduzierte Überstände, Restposten & Co.)
Kommentarübersicht
Re: Köstlich!
Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

pygrub hat das Problem
se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

wenig kritisch?
guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

Re: nicht kritisch?
cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Re: update: RH betroffen, SUSE nicht
blub 01. Okt 2007

boing <- die einzig passende antwort

Folgen Sie uns
       
The Outer Worlds - Fazit

Das Rollenspiel The Outer Worlds schickt Spieler an den Rand der Galaxie. Es erscheint am 25. Oktober 2019 und bietet spannende Missionen und Action.

The Outer Worlds - Fazit Video aufrufen
Prozessor
Threadripper 3970X/3960X im Test: AMD wird uneinholbar
Threadripper 3970X/3960X im Test
AMD wird uneinholbar

7-nm-Fertigung, Zen-2-Architektur und dank Chiplet-Design keine Scheduler-Probleme unter Windows 10: AMDs Threadripper v3 überzeugen auf voller Linie, die CPUs wie die Plattform. Intel hat im HEDT-Segment dem schlicht nichts entgegenzusetzen. Einzig Aufrüster dürften sich ärgern.
Ein Test von Marc Sauter

  1. Via Technologies Centaur zeigt x86-Chip mit AI-Block
  2. Nuvia Apples Chip-Chefarchitekt gründet CPU-Startup
  3. Tiger Lake Intel bestätigt 10-nm-Desktop-CPUs
Intel
Core i9-10980XE im Test: Intel rettet sich über den Preis
Core i9-10980XE im Test
Intel rettet sich über den Preis

Nur wenige Stunden vor AMDs Threadripper v3 veröffentlicht Intel den i9-10980XE: Der hat 18 Kerne und beschleunigt INT8-Code für maschinelles Lernen. Vor allem aber kostet er die Hälfte seines Vorgängers, weil der günstigere Ryzen 3950X trotz weniger Cores praktisch genauso schnell ist.
Ein Test von Marc Sauter

  1. Prozessoren Intel meldet 14-nm-Lieferprobleme
  2. NNP-T und NNP-I Intel hat den T-1000 der künstlichen Intelligenz
  3. Kaby Lake G Intels AMD-Chip wird eingestellt
AMD Navi
Radeon RX 5500 (4GB) im Test: AMDs beste 200-Euro-Karte seit Jahren
Radeon RX 5500 (4GB) im Test
AMDs beste 200-Euro-Karte seit Jahren

Mit der Radeon RX 5500 hat AMD endlich wieder eine sparsame und moderne Mittelklasse-Grafikkarte im Angebot. Verglichen mit Nvidias Geforce GTX 1650 Super reicht es zum Patt - aber nicht in allen Bereichen.
Ein Test von Marc Sauter

  1. Workstation-Grafikkarte AMDs Radeon Pro W5700 hat USB-C-Anschluss
  2. Navi-Grafikeinheit Apple bekommt Vollausbau und AMD bringt RX 5300M
  3. Navi-14-Grafikkarte AMD stellt Radeon RX 5500 vor
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /