Abo
  • Services:
Anzeige

Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

Anzeige

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.


eye home zur Startseite
Siga 01. Okt 2007

Das ist bei einer sicheren Virtualisierung und Beschränkung der Ressourcen theoretisch...

se_ultimativ 01. Okt 2007

Man kann eine Virtuelle Maschine entweder direkt booten lassen (configfile in Dom0), oder...

guest 01. Okt 2007

dummerweise ist grad das mit den vhosts die moeglichkeit, nicht vertrauenswuerdigen...

cb 01. Okt 2007

... Übertreiber :-D Das ist nichtmal bis zum nächsten Patch tot...

blub 01. Okt 2007

boing <- die einzig passende antwort



Anzeige

Stellenmarkt
  1. Rohde & Schwarz GmbH & Co. KG, München
  2. HIT Hanseatische Inkasso-Treuhand GmbH, Hamburg
  3. über Hanseatisches Personalkontor Bremen, Bremen
  4. ESG Elektroniksystem- und Logistik-GmbH, Fürstenfeldbruck


Anzeige
Top-Angebote
  1. 499,99€ - Wieder bestellbar. Ansonsten gelegentlich bezügl. Verfügbarkeit auf der Bestellseite...
  2. 349€ inkl. Abzug (Vergleichspreis 452€)
  3. (u. a. Far Cry Primal Digital Apex Edition 22,99€, Total War: WARHAMMER 16,99€ und Total War...

Folgen Sie uns
       


  1. IFR

    Zahl der verkauften Haushaltsroboter steigt stark an

  2. FTTH

    CDU für Verkauf der Telekom-Aktien

  3. Konkurrenz

    Unitymedia gegen Bürgerprämie für Glasfaser

  4. Arduino MKR GSM und WAN

    Mikrocontroller-Boards überbrücken weite Funkstrecken

  5. Fahrdienst

    London stoppt Uber, Protest wächst

  6. Facebook

    Mark Zuckerberg lenkt im Streit mit Investoren ein

  7. Merged-Reality-Headset

    Intel stellt Project Alloy ein

  8. Teardown

    Glasrückseite des iPhone 8 kann zum Problem werden

  9. E-Mail

    Adobe veröffentlicht versehentlich privaten PGP-Key im Blog

  10. Die Woche im Video

    Schwachstellen, wohin man schaut



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Parkplatz-Erkennung: Bosch und Siemens scheitern mit Pilotprojekten
Parkplatz-Erkennung
Bosch und Siemens scheitern mit Pilotprojekten
  1. Community based Parking Mercedes S-Klasse liefert Daten für Boschs Parkplatzsuche

Optionsbleed: Apache-Webserver blutet
Optionsbleed
Apache-Webserver blutet
  1. Apache-Sicherheitslücke Optionsbleed bereits 2014 entdeckt und übersehen
  2. Open Source Projekt Oracle will Java EE abgeben

Lenovo Thinkstation P320 Tiny im Test: Viel Leistung in der Zigarrenschachtel
Lenovo Thinkstation P320 Tiny im Test
Viel Leistung in der Zigarrenschachtel
  1. Adware Lenovo zahlt Millionenstrafe wegen Superfish
  2. Lenovo Smartphone- und Servergeschäft sorgen für Verlust
  3. Lenovo Patent beschreibt selbstheilendes Smartphone-Display

  1. Re: Wir ueberlegen seit langem den Kauf

    seph | 16:22

  2. Re: Dagegen! [solution inside]

    Ovaron | 16:21

  3. Re: Die letzte Meile

    plutoniumsulfat | 16:20

  4. Re: Kein Band 20

    TC | 16:12

  5. Bleiben denn die ganzen Dienste wie foodora?

    Analysator | 16:02


  1. 15:18

  2. 13:34

  3. 12:03

  4. 10:56

  5. 15:37

  6. 15:08

  7. 14:28

  8. 13:28


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel