El Proyecto Xen ha revelado los detalles de una grave vulnerabilidad en el hipervisor Xen que podría poner en riesgo la seguridad de muchos servidores virtualizados..
Xen es un hipervisor gratuito de código abierto que se utiliza para crear y ejecutar máquinas virtuales. Es ampliamente utilizado por proveedores de computación en la nube y empresas de alojamiento de servidores privados virtuales.
La vulnerabilidad de seguridad, que se rastrea como CVE-2014-7188 y se divulgó de manera privada a los principales proveedores de la nube por adelantado, obligó al menos a Amazon Web Services y Rackspace a reiniciar algunos de los servidores virtualizados de sus clientes durante la semana pasada.
El problema permite que una máquina virtual creada utilizando la virtualización asistida por hardware (HVM) de Xen lea los datos almacenados por otros invitados HVM que comparten el mismo hardware físico. Esto rompe una barrera de seguridad importante en entornos virtuales de múltiples inquilinos..
Un invitado malicioso de HVM también puede explotar la falla para bloquear el servidor host, dijo el Proyecto Xen en un aviso de seguridad publicado el miércoles.
La vulnerabilidad solo afecta a Xen que se ejecuta en sistemas x86, no a ARM, y no afecta a los servidores virtualizados con el modo de paravirtualización (PV) de Xen en lugar de HVM.
Aun así, es probable que el problema afecte a una gran cantidad de servidores. Amazon se vio obligado a reiniciar hasta el 10 por ciento de sus servidores Elastic Cloud Compute (EC2) en los últimos días para aplicar el parche y el esfuerzo similar de Rackspace afectó a una cuarta parte de sus 200,000 clientes.
Amazon programó sus reinicios para que no afectaran dos regiones o zonas de disponibilidad al mismo tiempo.
"Los reinicios zona por zona se completaron según lo planeado y trabajamos muy de cerca con nuestros clientes para asegurarnos de que los reinicios se realizaron sin problemas", dijo la compañía el miércoles en una publicación de blog..
Las cosas no fueron tan fáciles para Rackspace, cuyo CEO, Taylor Rhodes, admitió en un correo electrónico enviado a los clientes el martes que la compañía "dejó caer algunas bolas" en el proceso de lidiar con la vulnerabilidad.
"Algunos de nuestros reinicios, por ejemplo, tardaron mucho más de lo que deberían", dijo Rhodes. “Y algunas de nuestras notificaciones no fueron tan claras como deberían haber sido. Estamos haciendo cambios para abordar esos errores ".
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
