Abo
  • Services:
Anzeige

Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

Anzeige

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.

eye home zur Startseite
Kommentarübersicht
Re: Köstlich!
Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

pygrub hat das Problem
se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

wenig kritisch?
guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

Re: nicht kritisch?
cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

Re: update: RH betroffen, SUSE nicht
blub 01. Okt 2007

boing <- die einzig passende antwort

Anzeige
Stellenmarkt
  1. Bundeskartellamt, Bonn
  2. Medion AG, Essen
  3. T-Systems International GmbH, Leinfelden-Echterdingen
  4. Birkenstock GmbH & Co. KG Services, Neustadt (Wied)
Anzeige
Spiele-Angebote
  1. 349,98€
  2. 8,99€
  3. 5,00€
Folgen Sie uns
       
Videos
Elektroroller Niu M1 in Aktion - Herstellervideo Elektroroller Niu M1 in Aktion - Herstellervideo
Ticker
  1. Separate E-Mail-Adressen

    Komplexe Hilfe gegen E-Mail-Angriffe

  2. Luna Display

    iPad wird zum Funk-Zweitdisplay für den Mac

  3. Centriq 2400

    Qualcomm erläutert 48-Kern-ARM-Chip

  4. Ni No Kuni 2 Angespielt

    Scharmützel und Aufbau im Königreich Ding Dong Dell

  5. Elektroautos

    115 Schnellladestationen gegen Reichweitenangst gebaut

  6. Drohnenlieferungen

    In Island fliegen bald Pizza und Bier

  7. Playstation Now

    Sonys Streamingdienst für PS4 und Windows-PC gestartet

  8. Umweltbundesamt

    Software-Updates für Diesel reichen nicht

  9. Acer Nitro 5 Spin

    Auf dem Gaming-Convertible spielen und zeichnen

  10. Galaxy Note 8 im Hands on

    Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

Newsletter-Abo
Haben wir etwas übersehen?

E-Mail an news@golem.de

Anzeige
Verkehr
Schifffahrt: Yara Birkeland wird der erste autonome E-Frachter
Schifffahrt
Yara Birkeland wird der erste autonome E-Frachter
  1. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  2. Honolulu Strafe für Handynutzung auf der Straße
  3. Yara Birkeland Autonomes Containerschiff soll elektrisch fahren
Politik/Recht
Nach Anschlag in Charlottesville: Nazis raus - aber nur aus PR-Gründen
Nach Anschlag in Charlottesville
Nazis raus - aber nur aus PR-Gründen
  1. Bundesinnenministerium Neues Online-Bürgerportal kostet 500 Millionen Euro
  2. EU-Transparenz EuGH bekräftigt nachträglichen Zugang zu Gerichtsakten
  3. Rücknahmepflicht Elektronikschrott wird kaum zurückgegeben
AMD Vega
Radeon RX Vega 64 im Test: Schnell und durstig mit Potenzial
Radeon RX Vega 64 im Test
Schnell und durstig mit Potenzial
  1. Vega 64 Strix ausprobiert Asus' Radeon macht fast alles besser
  2. Radeon RX Vega Mining-Treiber steigert MH/s deutlich
  3. Radeon RX Vega 56 im Test AMD positioniert sich in der Mitte
Forumsbeiträge »
  1. Umweltbundesamt Software-Updates für Diesel reichen nicht

    Re: Umweltpremie für Touareg - ein Witz

    atikalz | 09:01

  2. Galaxy Note 8 im Hands on Auch das Galaxy Note sieht jetzt doppelt - für 1.000 Euro

    Note 9 dann mit 7"? ;)

    LeCaNo | 09:01

  3. Umweltbundesamt Software-Updates für Diesel reichen nicht

    Re: Stickoxide....

    Niaxa | 09:00

  4. Drohnenlieferungen In Island fliegen bald Pizza und Bier

    Re: In Island...

    Palerider | 09:00

  5. Umweltbundesamt Software-Updates für Diesel reichen nicht

    Re: Nach Update immer noch über Grenzwert...

    Niaxa | 08:59

Ticker »
  1. Separate E-Mail-Adressen Komplexe Hilfe gegen E-Mail-Angriffe

    09:00

  2. Luna Display iPad wird zum Funk-Zweitdisplay für den Mac

    08:32

  3. Centriq 2400 Qualcomm erläutert 48-Kern-ARM-Chip

    08:10

  4. Ni No Kuni 2 Angespielt Scharmützel und Aufbau im Königreich Ding Dong Dell

    07:45

  5. Elektroautos 115 Schnellladestationen gegen Reichweitenangst gebaut

    07:41

  6. Drohnenlieferungen In Island fliegen bald Pizza und Bier

    07:30

  7. Playstation Now Sonys Streamingdienst für PS4 und Windows-PC gestartet

    07:15

  8. Umweltbundesamt Software-Updates für Diesel reichen nicht

    17:51

  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  / 
    Zum Artikel