АНАЛИЗ НОВОСТЕЙ: Больше подробных данных сейчас общедоступно на уязвимости гипервизора Xen с открытым исходным кодом, которая инициировала полный Amazon, Rackspace и облачные перезагрузки IBM.Опора пословиц скрепляет основных провайдеров открытого облака в мире, и тот контакт есть гипервизором Xen с открытым исходным кодом.
Amazon, Rackspace и IBM SoftLayer должны были все перезагрузить их серверы за прошлые пару дней для фиксации недостатка в Xen, о котором тайно сказали 14 дней назад и лишь публично раскрыли 1 октября.Разглядываемый недостаток детализирован на Консультации безопасности Xen XSA-108 и также идентифицируется как CVE-2014-7188.
С технической точки зрения уязвимость названа «Неподходящий диапазон MSR, применяемый для x2APIC эмуляции», которая есть по большей части связанной с памятью проблемой. Модельные Определенные Реестры (MSRs) являются регистрами управления в x86 микросхеме, тогда как x2APIC есть Усовершенствованным программируемым контроллером прерываний (APIC) Intel нового поколения.«Диапазон MSR, указанный для применения APIC в x2APIC модели доступа, охватывает 256 MSRs», согласно консультации Xen. «Код гипервизора, эмулирующий доступ для чтения и доступ для записи к этим MSRs ошибочно, касался 1024 MSRs».Влияние недостатка – то, что атакующий имел возможность возможно уничтожить базисный хост-сервер и возможно вычислять эти из вторых виртуальных автомобилей в совокупности.
Так, неприятность для провайдеров открытого облака, к примеру, пребывает в том, что недостаток, быть может, разрешил атакующему возможно получить доступ к вторым ресурсам и данным по облаку. Само собой очевидно, это было бы катастрофически для любого провайдера открытого облака, в особенности самое громадное в мире.
Неприятность лишь воздействует на помогшие с аппаратными средствами виртуальные автомобили (HVMs) и не паравиртуализированная (PV) виртуальные автомобили. HVMs действенно применяют возможности в кремнии, включая VT-x и AMD-V Intel.О недостатке сперва сказал 14 дней назад Проекту Xen с открытым исходным кодом сотрудник SUSE LINUX ЯН БЕУЛИЧ.
В отличие от уязвимости Heartbleed в уязвимости и апрель Контузии, о которой сперва сказали 24 сентября, проект Xen с открытым исходным кодом смог сохранить подробные эти недостатка CVE-2014-7188 частными, пока главные провайдеры открытого облака не могли быть исправлены.Проект Xen был выполнен как Проект Сотрудничества Базы Linux с 2013. Xen имел в распоряжении подробный процесс ответа безопасности с 2011, что был инкрементно обновлен неоднократно для совершенствования процесса.«Если бы уязвимость не уже общедоступна, мы желали бы уведомить операторов и значительных дистрибьюторов Xen так, чтобы они имели возможность подготовить исправленное ПО заблаговременно», заявляет документ процесса ответа безопасности Xen. «Это окажет помощь минимизировать градус, до которого существуют пользователи Xen, которые уязвимы, но не могут взять патчи».
Программные уязвимости являются неизбежным фактом современных приложений. То, что проект Xen имеет управляемый с целью достижения, есть методом подобающим образом управления процесс устранения неточности без истерии и обмана, которая связана с раскрытием неточности нулевого дня. Что еще более принципиально важно, приобретая всех больших поставщиков «облачной» инфраструктуры фиксировал, перед тем как недостаток был публично раскрыт, Проект Xen, возможно, сохранил мир IT от главного кошмара безопасности.Шон Майкл Кернер есть главным редактором eWEEK и InternetNews.com.
Следуйте за ним в Твиттере @TechJournalist.