De open source-virtualisatiesoftware Xen bezorgt beheerders flink wat werk. Naast de recente onderhoudsrelease zijn er meerdere security-patches voor bugs, waaronder één die zeven jaar oud is en die kaping van het host-systeem mogelijk maakt.
De ontwikkelaars van het Xen Project zijn druk doende bugs te fixen in hun code. Dat reparatiewerk heeft afgelopen week een maintenance release opgeleverd die Xen naar versie 4.5.2 brengt. Het officiële advies aan gebruikers van de stabiele 4.5-reeks is om deze update te installeren. De onderhoudsrelease brengt een reeks aan bugfixes en verbeteringen voor de stabiliteit van de hypervisor voor virtuele machines (vm’s).
Systeemkaping
Onder de fixes bevinden zich volgens The Register ook enkele opvallende, onder meer één om datacorruptie ‘te vermijden’. Kritieker nog is de reeks fixes die eind vorige maand zijn uitgebracht. Die negen securitypatches vallen buiten het reguliere, geplande ritme voor de maintenance releases. Onder de negen bevindt zich een fix voor een kwetsbaarheid die al zeven jaar in de virtualisatiecode schuilt en die is ontdekt door een onderzoeker van het Chinese e-commercebedrijf Alibaba.
Deze bug (XSA-148) geeft aanvallers de mogelijkheid om via de virtuele machines (guests) draaiend op een Xen-installatie het host-systeem te bereiken. Kwaadwillenden konden zo uitbreken uit de omgeving van een gast-systeem en doordringen naar het onderliggende platform. Toegang tot het hele systeem, inclusief andere daarop draaiende vm’s, is daarmee mogelijk.
Beheerdersrechten
Een kwaadwillende moet daarvoor wel beheerdersrechten hebben op zo’n vm. Dit lijkt de ernst te beperken, maar Xens gebruik door cloud- en hostingaanbieders haalt een streep door die relativering. Echter, niet alle clouds en gehoste systemen zijn per definitie kwetsbaar. Zo heeft Xen-grootgebruiker Amazon al gesteld dat het niet kwetsbaar is voor dit securitygat. De aanbieder heeft Xen namelijk gewijzigd voor eigen gebruik op zijn cloudplatform, wat dus de kwetsbaarheid zou inperken.
Toch heeft deze kritieke bug een diepgaande impact. De vergelijking valt te trekken met de Venom-kwetsbaarheid (virtualized environment neglected operations manipulation) van eerder dit jaar. Daarbij bleek vm-ontsnapping en host-kaping mogelijk via de standaard ‘ingebouwde’ virtuele diskettedrive (voor vm’s) in virtualisatiesoftware QEMU. De code daarvan doet dienst in diverse virtualisatieplatformen, zoals VirtualBox, Xen en KVM.
Volgende patch is er al
Gebruikers van Xen dienen hun systemen nu opnieuw door te nemen en te upgraden. Dit geldt ook als de negen securitypatches al zijn geïnstalleerd en de maintenance release ook. Want Xen heeft daarna nog een nieuwe patch uitgebracht, voor een bug (XSA-156) die onder bepaalde omstandigheden x86-processors kan ‘vastknopen’ in een infinite loop. Ondertussen spreekt Xen tegen dat de software onveilig is. Daarbij benadrukt het dat dit echter niet betekent dat er geen werk aan de winkel is om de security te verbeteren.
