El Proyecto Xen ha corregido cuatro vulnerabilidades en su software de virtualización ampliamente utilizado, dos de los cuales podrían permitir que los administradores maliciosos de máquinas virtuales se hagan cargo de los servidores host..
Las fallas que rompen la capa de aislamiento entre máquinas virtuales son el tipo más grave para un hipervisor como Xen, lo que permite a los usuarios ejecutar varias máquinas virtuales en el mismo hardware subyacente de manera segura.
El hipervisor Xen es ampliamente utilizado por los proveedores de computación en la nube y las empresas de alojamiento de servidores privados virtuales como Linode, que tuvieron que reiniciar algunos de sus servidores en los últimos días para aplicar los nuevos parches..
Las actualizaciones de Xen, que se compartieron con los socios de antemano, se publicaron el jueves junto con las advertencias de seguridad que las acompañan..
Una vulnerabilidad identificada como CVE-2016-7093 afecta a las máquinas virtuales de hardware (HVM) que utilizan la virtualización asistida por hardware. Permite al administrador de un sistema operativo invitado escalar sus privilegios a los del host.
La vulnerabilidad afecta a las versiones 4.7.0 y posteriores de Xen, así como a las versiones 4.6.3 y 4.5.3 de Xen, pero solo las implementaciones con invitados HVM que se ejecutan en hardware x86.
Otro defecto de escalada de privilegios identificado como CVE-2016-7092 afecta al otro tipo de máquinas virtuales compatibles con Xen: VM paravirtualizadas (PV). La vulnerabilidad afecta a todas las versiones de Xen y permite a los administradores de invitados PV de 32 bits obtener privilegios en el host..
Los administradores invitados pueden explotar las otras dos vulnerabilidades parcheadas, CVE-2016-7154 y CVE-2016-7094, para causar condiciones de denegación de servicio en el host. En el caso de CVE-2016-7154, que solo afecta a Xen 4.4, no se puede excluir la ejecución remota de código y la escalada de privilegios, dijo el Proyecto Xen en un aviso.
Mientras tanto, CVE-2016-7094 afecta a todas las versiones de Xen, pero solo a las implementaciones que alojan invitados HVM en hardware x86 que están configurados para ejecutarse con paginación en la sombra.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
