Xen項目補丁嚴(yán)重的虛擬機逃逸漏洞 遠(yuǎn)程控制軟件，灰鴿子下載

admin

Xen項目補丁嚴(yán)重的虛擬機逃逸漏洞 遠(yuǎn)程控制軟件，灰鴿子下載

這些更新修復(fù)一共有四個缺陷，從客戶VM兩項信息權(quán)限提升到主機
Xen項目已經(jīng)定格在其被廣泛采用的虛擬化軟件，通過四漏洞，其中兩個可能允許惡意的虛擬機管理員接管主機服務(wù)器。
這打破虛擬機之間的隔離層的缺陷是最嚴(yán)重的一種用于如Xen管理程序，它允許用戶以安全的方式運行相同的底層硬件上的多個虛擬機。
Xen管理程序被廣泛的云計算提供商和虛擬專用服務(wù)器托管公司，如的Linode，這不得不重新啟動它的一些服務(wù)器在過去幾天應(yīng)用新補丁使用。
Xen的更新，這與合作伙伴提前共享，公開了周四公布的伴隨安全公告一起。
標(biāo)識為CVE-2016-7093漏洞的一個硬件影響的虛擬機使用其硬件輔助虛擬化（HVMS）。它允許客戶機操作系統(tǒng)的管理員以他們的特權(quán)升級到主機的。
該漏洞影響的Xen版本4.7.0或更高版本，以及發(fā)布的Xen 4.6.3和4.5.3而只用HVM客人在x86硬件上運行這些部署。
標(biāo)識為CVE-2016-7092的另一個特權(quán)提升漏洞影響的其它類型由Xen的支持的虛擬機：半虛擬化（PV）的虛擬機。該漏洞影響所有的Xen版本，并允許32位PV來賓管理員可以在主機上獲得特權(quán)。
另外兩個漏洞，CVE-2016-7154和CVE-2016-7094，可通過guest虛擬機管理員利用來導(dǎo)致主機拒絕服務(wù)的條件。在CVE-2016-7154，這不僅影響的Xen 4.4的情況下，遠(yuǎn)程代碼執(zhí)行和權(quán)限升級不能排除，Xen項目在公告中說。
同時，CVE-2016-7094影響的Xen的所有版本，但只部署在配置與影子分頁運行x86硬件托管HVM來賓。