Ένα σοβαρό ζήτημα ευπάθειας στο Xen hypervisor γνωστοποιήθηκε στο κοινό την περασμένη εβδομάδα, το οποίο θα μπορούσε να επιτρέψει σε ένα κακόβουλο hardware virtual machine (HVM) να διαβάσει δεδομένα από άλλους επισκέπτες (guests) που είναι διαθέσιμοι στο virtualization environment.
Το Xen είναι μια λύση ανοικτού κώδικα για την παροχή εικονικών private servers, που χρησιμοποιούνται στον τομέα των cloud computing υπηρεσιών, όπως στο Amazon EC2 (Elastic Compute Cloud) και στο Rackspace Cloud.
Μέσω της αξιοποίησης της συγκεκριμένης ευπάθειας, η οποία φέρει το αναγνωριστικό CVE-2014-7188, ένας εισβολέας θα μπορούσε να διαβάσει πληροφορίες από εικονικές μηχανές που λειτουργούν στο ίδιο φυσικό hardware και ελέγχονται μέσω του Xen.
Η επιτυχής αξιοποίηση της ευπάθειας θα μπορούσε να οδηγήσει ακόμη και σε
κρασάριμα του διακομιστή που φιλοξενεί τις εικονικές μηχανές.
Περισσότερες τεχνικές λεπτομέρειες σχετικά με την ευπάθεια μπορούν να βρεθούν στο ακόλουθο link: xenbits.xen.org/xsa/advisory
Η ευπάθεια επηρεάζει το Χen 4.1, καθώς και νεότερες εκδόσεις (τo ARM δεν επηρεάζεται), ενώ για την επιδιόρθωση του προβλήματος έχει εκδοθεί ένα patch ασφάλειας για συστήματα x86: http://xenbits.xen.org/xsa/xsa108.patch
H ευπάθεια γνωστοποιήθηκε αρχικά στους παρόχους cloud υπηρεσιών, προτού αποκαλυφθεί δημοσίως, ώστε οι εταιρείες να λάβουν τα απαραίτητα μέτρα για την προστασία των πελατών τους.
