Weblog

door Bas onder GeneralNewsVPS / Server Management | 0 comments

Xen-lek geen gevolgen voor CloudVPS

De afgelopen dagen is er wat onrust geweest over een kwetsbaarheid in Xen. Enkele grote partijen waren inmiddels bezig met het herstarten van de infrastructuur, een zogeheten security advisory was wel al aangekondigd maar onder embargo geplaatst en op het Internet deden diverse verhalen de ronde over de ernst en impact van het lek.

Zojuist is het embargo op het securitybulletin afgelopen en is bekend gemaakt wat precies deze kwetsbaarheid inhoudt; het goede nieuws is dat deze kwetsbaarheid een component betreft dat we binnen CloudVPS niet gebruiken. Of anders gezegd: Deze kwetsbaarheid treft ons niet, wij hebben hier geen last van.

De reden dat dit lek ons niet raakt is een wat technisch verhaal. Xen als systeem biedt twee manieren van virtualisatie: volledige virtualisatie en para-virtualisatie. Bij volledige virtualisatie heeft de virtuele server er geen weet van dat deze in een virtuele omgeving draait. Zo wordt ondermeer het BIOS maar ook de harddisktoegang gesimuleerd om de virtuele server het idee te geven dat deze met daadwerkelijke hardware te maken heeft.

Para-virtualisatie daarentegen probeert niet te verhullen dat de server in een virtuele omgeving draait maar maakt daar zelfs gebruik van: Door niet te doen alsof de virtuele server bijvoorbeeld naar een harddisk schrijft maar simpelweg de informatie doorgeeft aan de onderliggende hardwareserver hoeft er geen simulatie plaats te vinden. En dat gaat een stuk effectiever en sneller. CloudVPS maakt voor de classic VPS’en gebruik van para-virtualisatie binnen Xen.

Het lek dat vandaag gepubliceerd is betreft een fout in het gedeelte dat voor volledige virtualisatie zorgt en staat kwaadwillenden toe om gegevens van anderen uit te lezen of de onderliggende hardwareserver te doen crashen.

Maar zoals gezegd is deze vulnerability niet van toepassing op ons.

Voor meer informatie over deze kwetsbaarheid kunt u eventueel de security advisory lezen:
http://xenbits.xen.org/xsa/advisory-108.html

Tags:

Comments (0)

Laat een reactie achter

Commenting is not available in this channel entry.
VPS Bestellen
VPS Bestellen