Участники Xen Project опубликовали бюллетень по безопасности, посвященный критической уязвимости в виртуальной машине и одноименном гипервизоре. Данная брешь позволяет проводить атаки на публичные облачные сервисы, вызывая крэш на хост-машинах, и даже похищать небольшое количество случайных данных. Соответствующий патч был предоставлен некоторым провайдерам с условием неразглашения, соответствующие технические работы в последний сентябрьский уик-энд привели к простоям, ставшим неожиданностью для многих пользователей.

Популярный гипервизор Xen и соответствующий софт используют ряд крупных веб-сервисов, в том числе Amazon Web Services, Verizon Cloud и Rackspace. Обычно участники проекта не комментируют свои информационные бюллетени, однако на этот раз экспертный совет сделал исключение, чтобы опровергнуть домыслы, будто XSA-108 несколько сродни уязвимости в Bash, известной как Shellshock. Вносим ясность: между этими двумя багами нет никакой связи, кроме того факта, что оба они являются критической уязвимостью.

«XSA-108 вызвана ошибкой в коде эмуляции, который используется при выполнении гостевых ОС на процессорах x86, — поясняют в своем заявлении представители Xen Project. — Данный баг позволяет атакующему повысить привилегии для гостевой ОС и вызвать крэш хост-компьютера или считать до 3 Кб произвольных данных из памяти, не назначенной данной ОС. Если эта область памяти выделена другой гостевой ОС или гипервизору, в ней может оказаться конфиденциальная информация».

По словам экспертов, данная уязвимость не затрагивает гостевые ОС, модифицированные под запуск без аппаратной виртуализации. Патч для Xen уже выпущен, но вначале раздавался без права оглашения; эмбарго было снято лишь 1 октября, поэтому пока неизвестно, кто успел его установить, а кто нет. «Несколько облачных провайдеров сочли необходимым обновить свои серверы, чтобы снизить риски для пользователей, — говорится в блоге Xen Project. — Вполне вероятно, что то же сделали более мелкие вендоры. Поставщики программных продуктов и дистрибутивов Linux начнут предоставлять пользователям обновления с момента снятия эмбарго».

Amazon и Rackspace сочли данную уязвимость достаточно серьезной и запустили внеплановый ремонт, вызвавший недовольство пользователей из-за простоев. При этом Amazon заблаговременно опубликовала предупреждение в блоге, заявив, что в некоторых случаях клиентам придется перезапустить систему для установки обновления. Rackspace, напротив, решила его инсталлировать безо всякого анонса, так как сочла, что упоминание такого громкого имени, как Xen, привлечет внимание злоумышленников к опасной уязвимости.

«Мы начали действовать незамедлительно, решив, что это будет меньшим злом, и лишь потом уведомили вас и наших партнеров из Xen-комьюнити о необходимости срочно перезапустить веб-серверы, — пояснил исполнительный директор и президент Rackspace Тейлор Роудс (Taylor Rhodes), принося извинения пользователям. — Однако даже в этой нотификации мы не назвали Xen в качестве причины, так как боялись насторожить киберпреступников». Роудс попутно упрекнул «другого крупного облачного провайдера» в том, что тот раскрыл имя Xen, заранее предупредив своих клиентов о возможных простоях в связи с обновлением. По мнению главы Rackspace, такое решение «повысило риски для всех пользователей уязвимых версий гипервизора». К счастью, говорит он, данные клиентов Rackspace из-за уязвимости не пострадали.

Категории: Главное, Уязвимости