Xen Project révèle une vulnérabilité grave qui affecte les serveurs virtualisés

Le projet Xen a révélé les détails d'une grave vulnérabilité dans l'hyperviseur Xen qui pourrait mettre en danger la sécurité de nombreux serveurs virtualisés.

Xen est un hyperviseur open source gratuit utilisé pour créer et exécuter des machines virtuelles. Il est largement utilisé par les fournisseurs de cloud computing et les sociétés d'hébergement de serveurs privés virtuels..

La vulnérabilité de sécurité, qui est suivie comme CVE-2014-7188 et qui a été divulguée à l'avance aux principaux fournisseurs de cloud, a obligé au moins Amazon Web Services et Rackspace à redémarrer certains des serveurs virtualisés de leurs clients au cours de la semaine dernière..

Ce problème permet à une machine virtuelle créée à l'aide de la virtualisation assistée par matériel (HVM) de Xen de lire les données stockées par d'autres invités HVM qui partagent le même matériel physique. Cela brise une importante barrière de sécurité dans les environnements virtuels à locataires multiples.

Un invité HVM malveillant peut également exploiter la faille pour planter le serveur hôte, a déclaré le projet Xen dans un avis de sécurité publié mercredi..

La vulnérabilité affecte uniquement Xen fonctionnant sur des systèmes x86, pas ARM, et n'affecte pas les serveurs virtualisés avec le mode de paravirtualisation (PV) de Xen au lieu de HVM.

Néanmoins, le problème est susceptible d'affecter un très grand nombre de serveurs. Amazon a été contraint de redémarrer jusqu'à 10% de ses serveurs Elastic Cloud Compute (EC2) au cours des derniers jours afin d'appliquer le correctif et l'effort similaire de Rackspace a affecté un quart de ses 200 000 clients.

Amazon a planifié ses redémarrages afin qu'ils n'affectent pas deux régions ou zones de disponibilité en même temps.

"Les redémarrages zone par zone ont été achevés comme prévu et nous avons travaillé en étroite collaboration avec nos clients pour nous assurer que les redémarrages se sont bien déroulés pour eux", a déclaré mercredi la société dans un article de blog..

Les choses ne se sont pas aussi bien passées pour Rackspace dont le PDG, Taylor Rhodes, a admis dans un e-mail envoyé aux clients mardi que la société avait "laissé tomber quelques balles" dans le processus de gestion de la vulnérabilité..

«Certains de nos redémarrages, par exemple, ont pris beaucoup plus de temps qu'ils ne le devraient», a déclaré Rhodes. «Et certaines de nos notifications n'étaient pas aussi claires qu'elles auraient dû l'être. Nous apportons des changements pour corriger ces erreurs. »

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.