Abo
  • Services:

Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Artikel veröffentlicht am , Julius Stiebert

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

Stellenmarkt
  1. Endress+Hauser InfoServe GmbH+Co. KG, Freiburg im Breisgau
  2. TenneT TSO GmbH, Bayreuth

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.

Zu den Kommentaren springen
Meistgelesen
  1. Ceramic Speed
    Hätte, hätte - Fahrrad ohne Kette
  2. Galaxy S10 im Hands on
    Samsung bringt vier neue Galaxy-S10-Modelle
  3. Galaxy Fold
    Samsungs faltbares Smartphone kostet 2.000 US-Dollar
  4. Raspberry Pi
    Rätselhafter Mikroprozessor im Netzwerkschrank enttarnt
  5. O2 Free Unlimited Flex
    Tarif mit echter Datenflatrate ohne Zweijahresvertrag
Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  3. 5€ inkl. FSK-18-Versand
  4. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
Kommentarübersicht
Re: Köstlich!
Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

pygrub hat das Problem
se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

wenig kritisch?
guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

Re: nicht kritisch?
cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Re: update: RH betroffen, SUSE nicht
blub 01. Okt 2007

boing <- die einzig passende antwort

Folgen Sie uns
       
LG 5K2K (34WK95U) Ultrawide - Fazit

Der aktuelle Ultrawide von LG hat eine beeindruckend hohe Auflösung und eignet sich wunderbar für Streamer oder die Videobearbeitung.

LG 5K2K (34WK95U) Ultrawide - Fazit Video aufrufen
IT-Jobs
Struktrurwandel: IT soll jetzt die Kohle nach Cottbus bringen
Struktrurwandel
IT soll jetzt die Kohle nach Cottbus bringen

In Cottbus wird bald der letzte große Braunkohle-Tagebau zum Badesee. Die ansässige Wirtschaft sucht nach neuen Geldquellen und will die Stadt zu einem wichtigen IT-Standort machen. Richten könnten das die Informatiker der Technischen Uni - die werden aber direkt nach ihrem Abschluss abgeworben.
Von Maja Hoock

  1. IT-Jobporträt Spieleprogrammierer "Ich habe mehr Code gelöscht als geschrieben"
  2. Recruiting Wenn die KI passende Mitarbeiter findet
  3. Softwareentwicklung Agiles Arbeiten - ein Fallbeispiel
Nvidia Turing
Metro Exodus im Technik-Test: Richtiges Raytracing rockt
Metro Exodus im Technik-Test
Richtiges Raytracing rockt

Die Implementierung von DirectX Raytracing in Metro Exodus überzeugt uns: Zwar ist der Fps-Verlust hoch, die globale Beleuchtung wirkt aber deutlich realistischer und stimmungsvoller als die Raster-Version.
Ein Test von Marc Sauter

  1. Grafikkarte Chip der Geforce GTX 1660 Ti ist überraschend groß
  2. Deep Learning Supersampling Nvidia will DLSS-Kantenglättung verbessern
  3. Geforce RTX Battlefield 5 hat schnelleres Raytracing und DLSS-Glättung
Western Digital
WD Black SN750 ausprobiert: Direkt hinter Samsungs SSDs
WD Black SN750 ausprobiert
Direkt hinter Samsungs SSDs

Mit den WD Black SN750 liefert Western Digital technisch wie preislich attraktive NVMe-SSDs. Es sind die kleinen Details, welche die SN750 zwar sehr gut, aber eben nicht besser als die Samsung-Konkurrenz machen.
Ein Bericht von Marc Sauter

  1. WD Black SN750 Leicht optimierte NVMe-SSD mit 2 TByte
  2. Ultrastar DC ME200 Western Digital baut PCIe-Arbeitsspeicher mit 4 TByte
  3. Western Digital My-Cloud-Lücke soll nach 1,5 Jahren geschlossen werden
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /