Original-URL des Artikels: https://www.golem.de/0710/55064.html    Veröffentlicht: 01.10.2007 09:55    Kurz-URL: https://glm.io/55064

Sicherheitslücke in Xen

Python-Code lässt sich in Dom0 ausführen

Eine Sicherheitslücke in der Virtualisierungssoftware Xen ermöglicht dem Root-Nutzer einer virtuellen Maschine, beliebigen Python-Programmcode in der privilegierten Xen-Domäne auszuführen. Da verschiedene kommerzielle Virtualisierungslösungen auf Xen basieren, können diese auch betroffen sein.

Die Sicherheitsspezialisten von Secunia stufen die zumindest in Xen 3.0.3 vorhandene Sicherheitslücke jedoch als wenig kritisch ein, da ein potenzieller Angreifer über Root-Rechte in einer virtuellen Maschine verfügen muss. Dieser kann dann die Konfiguration des Bootloaders Grub manipulieren.

So lässt sich Python-Code in der privilegierten Domäne Dom0 ausführen, die vollen Zugriff auf die Hardware hat und den Gastsystemen (DomU) Ressourcen zuweist. Secunia empfiehlt als Lösung, nur vertrauenswürdigen Personen Root-Rechte in einer virtuellen Maschine zu geben - ein Update für Xen 3.0.3 gibt es noch nicht und es ist auch noch nicht klar, ob andere Xen-Versionen ebenfalls betroffen sind.

Da XenSource und Virtual Iron ebenfalls Produkte anbieten, die auf Xen basieren, könnten einige ihrer Versionen gleichfalls von der Sicherheitslücke betroffen sein.

Vor allem aber zeigt das aufgetauchte Problem, dass mit zunehmender Verbreitung von Virtualisierungssoftware auch hierin eher Fehler und Sicherheitslecks entdeckt werden. Erst kürzlich hatte VMware mehrere Sicherheits-Updates für seine Produktpalette veröffentlicht.  (js)


Verwandte Artikel:
VMware veröffentlicht mehrere Sicherheits-Updates   
(20.09.2007, https://glm.io/54880 )
Hypervisor: Amazons Cloud wechselt von Xen auf KVM   
(09.11.2017, https://glm.io/131068 )
Linux: Qubes-Projekt führt Security-Zertifizierung ein   
(11.07.2017, https://glm.io/128851 )
Virtualisierungs-Verwaltung von Google   
(11.09.2007, https://glm.io/54685 )
Virtual Iron 4: Neue Version der kommerziellen Xen-Variante   
(05.09.2007, https://glm.io/54552 )

Links zum Artikel:
XenSource (.com) - Xen Community: http://www.xensource.com/xen/

© 1997–2020 Golem.de, https://www.golem.de/