Xen项目补丁严重的虚拟机逃逸漏洞 远程控制软件，灰鸽子下载

admin

Xen项目补丁严重的虚拟机逃逸漏洞 远程控制软件，灰鸽子下载

漏洞

这些更新修复一共有四个缺陷，从客户VM两项信息权限提升到主机
Xen项目已经定格在其被广泛采用的虚拟化软件，通过四漏洞，其中两个可能允许恶意的虚拟机管理员接管主机服务器。
这打破虚拟机之间的隔离层的缺陷是最严重的一种用于如Xen管理程序，它允许用户以安全的方式运行相同的底层硬件上的多个虚拟机。
Xen管理程序被广泛的云计算提供商和虚拟专用服务器托管公司，如的Linode，这不得不重新启动它的一些服务器在过去几天应用新补丁使用。
Xen的更新，这与合作伙伴提前共享，公开了周四公布的伴随安全公告一起。
标识为CVE-2016-7093漏洞的一个硬件影响的虚拟机使用其硬件辅助虚拟化（HVMS）。它允许客户机操作系统的管理员以他们的特权升级到主机的。
该漏洞影响的Xen版本4.7.0或更高版本，以及发布的Xen 4.6.3和4.5.3而只用HVM客人在x86硬件上运行这些部署。
标识为CVE-2016-7092的另一个特权提升漏洞影响的其它类型由Xen的支持的虚拟机：半虚拟化（PV）的虚拟机。该漏洞影响所有的Xen版本，并允许32位PV来宾管理员可以在主机上获得特权。
另外两个漏洞，CVE-2016-7154和CVE-2016-7094，可通过guest虚拟机管理员利用来导致主机拒绝服务的条件。在CVE-2016-7154，这不仅影响的Xen 4.4的情况下，远程代码执行和权限升级不能排除，Xen项目在公告中说。
同时，CVE-2016-7094影响的Xen的所有版本，但只部署在配置与影子分页运行x86硬件托管HVM来宾。