Pagetable-Sicherheitslücke: Ausbruch aus dem virtuellen Xen-Käfig

Eine Lücke im Xen-Hypervisor erlaubt einem Gastsystem, die Kontrolle über das komplette Host-System zu übernehmen. Hierfür wird die Speicherverwaltung ausgetrickst. Die Entwickler der Qubes-Distribution üben heftige Kritik an Xen.

Artikel veröffentlicht am , Hanno Böck
Tut das Xen-Projekt zu wenig in Sachen Sicherheit? Das finden zumindest die Entwickler von Qubes.
Tut das Xen-Projekt zu wenig in Sachen Sicherheit? Das finden zumindest die Entwickler von Qubes. (Bild: Xen)

Das Xen-Projekt hat Patches bereitgestellt, mit denen eine Reihe von Sicherheitslücken behoben wurde. Eine davon - von Xen im Advisory XSA-148 behandelt - ist besonders kritisch, denn sie erlaubt es einem Gastsystem, das komplette Host-System zu übernehmen.

Sieben Jahre unentdeckt

Stellenmarkt
  1. ERP-Anwendungsbetreuer (m/w/d)
    Hays AG, Baden-Württemberg
  2. Head of Software Development CDE (m/w/d)
    thinkproject Deutschland GmbH, Berlin
Detailsuche

Der fehlerhafte Code war seit sieben Jahren in Xen vorhanden und steckt in Funktionen zur Verwaltung sogenannter Superpages. Mittels einiger Tricks kann ein Angreifer Schreibzugriff auf einen Pagetable des Hostsystems erhalten. Damit kann ein Angreifer dann nach Belieben Speicher auslesen und schreiben und somit aus dem Gastsystem ausbrechen.

Joanna Rutkowska und Marek Marczykowski-Górecki, beide Entwickler des Qubes-Betriebssystems, das auf Xen zur Isolation von Nutzerprozessen setzt, üben in einem eigenen Security-Advisory heftige Kritik. "Es beunruhigt uns, dass in den letzten sieben Jahren so viel Aufwand und Entwicklung in das Hinzufügen neuer Features geflossen ist, jedoch gab es keine ernsthaften Bemühungen, die Sicherheit von Xen effektiv zu verbessern", so das Qubes-Advisory. Es sei nicht akzeptabel, dass so häufig sicherheitskritische Bugs in einem so alten und etablierten System wie Xen auftauchen.

Tatsächlich wurden in jüngerer Zeit immer wieder kritische Lücken in Xen gefunden, aber auch andere Virtualisierungssysteme blieben davon nicht verschont. Im Frühjahr plagte eine Lücke namens Venom im Diskettentreiber sowohl Xen als auch KVM. Im vergangenen Jahr sorgte eine Lücke namens XSA-108 für einiges Aufsehen, da Amazon Tage davor allen Kunden einen Reboot der Server angekündigt hatte. Allerdings stellte sich dabei heraus, dass die Lücke deutlich weniger kritisch als erwartet war.

Neun Lücken geschlossen

Golem Akademie
  1. Docker & Containers - From Zero to Hero
    5.-7. Oktober 2021, online
  2. Elastic Stack Fundamentals - Elasticsearch, Logstash, Kibana, Beats
    26. - 28. Oktober 2021, online
Weitere IT-Trainings

Insgesamt haben die Xen-Entwickler neun Sicherheitslücken geschlossen. Allen Nutzern von Xen ist dringend anzuraten, Updates so schnell wie möglich zu installieren. Das Update wurde vor einigen Tagen bereits angekündigt.

Amazon teilte seinen Kunden mit, dass AWS-Nutzer von den Lücken nicht betroffen sind. Ob das bedeutet, dass Amazon die Lücken bereits vorab gepatcht hatte oder andere Gründe hat, geht aus der Ankündigung nicht hervor. Einige Firmen, die Xen professionell einsetzen, erhalten vorab Informationen über noch nicht veröffentlichte Sicherheitslücken über eine interne Mailingliste.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Neues Betriebssystem von Microsoft
Wir probieren Windows 11 aus

Windows 11 ist bereits im Umlauf. Wir haben die Vorabversion ausprobiert und ein schickes OS durchstöbert. Im Kern ist es aber Windows 10.
Ein Hands-on von Oliver Nickel

Neues Betriebssystem von Microsoft: Wir probieren Windows 11 aus
Artikel
  1. US-Produktionsstandort: Elektroauto Polestar 3 wird ein SUV
    US-Produktionsstandort
    Elektroauto Polestar 3 wird ein SUV

    Polestar baut sein erstes SUV in den USA. Der Polestar 3 soll eine neue Elektroplattform der Volvo Car Group nutzen.

  2. Nuro: FedEx will den Lieferwagenfahrer ersetzen
    Nuro
    FedEx will den Lieferwagenfahrer ersetzen

    FedEx erprobt, ob sich die Warenzustellung mit autonom fahrenden Robotern erledigen lässt. Kunden müssen das Fahrzeug aber selbst entladen.

  3. Niedrige Inzidenzen: Homeoffice-Pflicht soll am 30. Juni enden
    Niedrige Inzidenzen
    Homeoffice-Pflicht soll am 30. Juni enden

    Die allgemeine Pflicht zum Homeoffice soll Ende des Monats fallen. Coronatests sollen aber weiterhin in Betrieben angeboten werden.

Bigfoo29 30. Okt 2015

Ich stimme ja zu, dass ein Fokus auf "mehr Features" vs. "mehr Sicherheit" bei vielen...


Folgen Sie uns
       


Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Dualsense Midnight Black + Ratchet & Clank Rift Apart 99,99€ • Saturn Super Sale (u. a. Samsung 65" QLED (2021) 1.294€) • MSI 27" FHD 144Hz 269€ • Razer Naga Pro Gaming-Maus 119,99€ • Apple iPad Pro 12,9" 256GB 909€ [Werbung]
    •  /