В гипервизоре Xen выявлено 5 уязвимостей (https://xenbits.xen.org/xsa/), из которых четыре (CVE-2017-12135 (https://xenbits.xen.org/xsa/advisory-226.html), CVE-2017-12137 (https://xenbits.xen.org/xsa/advisory-227.html), CVE-2017-12136 (https://xenbits.xen.org/xsa/advisory-218.html), CVE-2017-12134 (https://xenbits.xen.org/xsa/advisory-229.html)) потенциально позволяют выйти за пределы текущего гостевого окружения и повысить свои привилегии, а одна уязвимость(CVE-2017-12855 (https://xenbits.xen.org/xsa/advisory-230.html)) может привести к утечке содержимого памяти из адресного пространства других окружений или хост-системы.Все уязвимости, за исключением CVE-2017-12134, вызваны ошибками в коде с реализацией интерфейса Grant Table (https://wiki.xen.org/wiki/Grant_Table), предназначенного для предоставления доступа к страницам памяти и передачи прав на манипуляцию с ними. Grant Table используется для организации совместного использования памяти между несколькими гостевыми системами и применяется, например, в общих для всех гостевых систем драйверах блочных устройств и ввода/вывода. Уязвимость CVE-2017-12134 присутствует в коде бэкенда паравиртуализированных блочных устройств Xen, входящего в состав ядра Linux, и позволяет из гостевой системы инициировать чтение или запись в некорректную область памяти.
Исправления пока доступны в виде патчей (https://xenbits.xen.org/xsa). Некоторые провайдеры публичных облачных систем были уведомлены о проблеме две недели назад и уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в список (https://www.xenproject.org/security-policy.html) упреждающей отправки уведомлений, рекомендуется срочно установить обновление. Для эксплуатации наиболее опасных уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра.
URL: https://www.qubes-os.org/news/2017/08/15/qsb-32/
Новость: https://www.opennet.ru/opennews/art.shtml?num=47030
https://www.opennet.ru/openforum/vsluhforumID3/110863.html#1
ВСД отступает -- есть пути для отхода. Сердцебиение нормализуется, дрожь ослабевает, дыхание приходит в норму.
Так лучше.
Подорожник приложил?
Ксенофобы
шо, опять?!
А есть какие-то другие способы виртуализации? Может академические разработки?
kvm ваш к.о.
> А есть какие-то другие способы виртуализации?_способов_ - нет. В смысле, в xen используются оба общепринятых - hv и pv.
то есть либо ядро и гостя и хоста в курсе друг о друге, и общаются через специальные интерфейсы, либо гостю подсовывают аппаратную виртуализацию с эмуляцией железа.Реализация аппаратной виртуализации на свете, по сути, одна - qemu, разработка одного-единственного человека, которую скопипастили от вмвари до microsoft (и включая,разумеется,линуксы)
А реализаций второго - было. Но по большей части сплыло (кто еще помнит про uml?).
>А реализаций второгоVirtIO
>>Реализация аппаратной виртуализации на свете, по сути, одна - qemu, разработка одного-единственного человека, которую скопипастили от вмвари до microsoft (и включая,разумеется,линуксы)Это вы так думаете, или у вас есть какие нибудь пруф линки?
Да.
>скопипастили от вмвари до microsoftПочему тогда молчит Software Freedom Conservancy?
>>скопипастили от вмвари до microsoft
> Почему тогда молчит Software Freedom Conservancy?так ключевая деталь архитектуры, без которой в то время ничего бы толком не работало, получился бы очередной uml (процессоры еще медленные и еще без всяких VT-чудес) не была изначально free, у нее, по-моему, и исходники-то не были паблик. (а когда автор наигрался и бросил, уже была и вмварь, и vpc, и кто там еще из ныне почивших в бозе, некоторые из них и не скрывали источников "вдохновения")
А ключевая деталь, без которой так себе работает сейчас (наоборот, виртуальные драйвера) - так она нынче у всех опен, та же вмварь просто счастлива, что ей больше не нужно под каждое новое ведро выпускать прослойку.
Потому что скопировали идею, а не код. Ваш КО
пользуйся XenOrcgestra - это веб-морда. вроде ниче так...
или сиди в консоли. это трушнее некуда
ксен оркестр -странная поделка.
знаем, проходили.
лично меня в ксене выбешивает то, что клиент только под винду. приходится на работе пользоваться этим.
почему бы ребятам из цитрикса не забубенить веб интерфейс на том же апаче?
Воспользуйтесь Oracle VM. Там всё управление через веб-морду. Последняя версия - 3.4.3. Тот же Xen, только с плюшками и for free
гражданин, Вы, прежде, чем выдавать советы, поинтересовались бы почему именно ксен.
да и лично Вы поможете перенести туеву хучу работающих виртуалок в оракл?)
Уважаемый, лично я помогал, помогаю и буду помогать мигрировать за денежку) Есть проект? - готов помочь :)А теперь позвольте поинтересоваться, почему именно Xen, а не альтернатива на том же гипервизоре?
> почему бы ребятам из цитрикса не забубенить веб интерфейс на том же
> апаче?потому что, во-первых, получится классная дыра (вчера rhn плюнула в меня очередной порцией срочно-апдейтов вашего замечательного апача) и придется для коммерческих клиентов поддерживать еще и _чужой_ кривой продукт. Как это делает vmware. И это помимо дыр by-design.
во-вторых, они явно не хотят видеть у себя тусовку хипстеров, программистов на reactjs.
В-третьих, и в главных, они предлагают - "почему бы ребятам, поющим алилуйю опенсорсу, не сделать в кои-то веки чего-то самим". А, не хотят и не умеют даже этого? (пара на редкость уродливых поделок не в счет) Ну так и нафиг для таких стараться? Ни один их коммерческий клиент по отсутствию native linux версии плакать не будет.и да, cli для любителей консоли никто не отменял, в отличие от той же вмвари им можно пользоваться, не испытывая желания убить нахрен изобретателя. И для более-менее крупной системы это, собственно, единственный адекватный способ - дырку в мыши протрешь, кликая.
>[оверквотинг удален]
> reactjs.
> В-третьих, и в главных, они предлагают - "почему бы ребятам, поющим алилуйю
> опенсорсу, не сделать в кои-то веки чего-то самим". А, не хотят
> и не умеют даже этого? (пара на редкость уродливых поделок не
> в счет) Ну так и нафиг для таких стараться? Ни один
> их коммерческий клиент по отсутствию native linux версии плакать не будет.
> и да, cli для любителей консоли никто не отменял, в отличие от
> той же вмвари им можно пользоваться, не испытывая желания убить нахрен
> изобретателя. И для более-менее крупной системы это, собственно, единственный адекватный
> способ - дырку в мыши протрешь, кликая.Первый адекватный и достаточно многогранный ответ попавшийся мне на глаза сегодня. Спс.
Если есть знания и скил в этом вопросе, эти "дырки" в XEN by design или криворукость?
> Если есть знания и скил в этом вопросепатчи, типа, открыты, никто ж не мешает посмотреть самому, что и как там исправляют.
by design. В смысле, не бывает таких пряморуких, которые напишут здоровенные куски хитросвязанного кода, потом еще сто раз перепишут ради новых веяний, и не ошибутся.просто не считайте виртуализацию волшебным средством от всех болезней. xen отличная штука, если вам нужно, к примеру, сделать стопицот тестовых виртуалок, вынести нахрен неудобосетапливаемую программу с юзерских систем на виртуальный десктоп, изолировать очередное чудо-в-коробочке от конкретного сервера, чтоб когда он навернется, без проблем переехать на соседний и т д. (про бигклауды и *aaS помолчим, там все варианты очень так себе)
А хонипоты для кулхакеров, так чтоб они друг друга и тебя самого не увидели и не разломали в принципе, боюсь, на этой платформе надежно не сделаешь (да и хз на какой - надежно. Наверное, на s390, ее никто толком не знает, непонятно, с какого конца хакать ;-)
какая дыра из апача? Вы о чем?
если Вы выставляете свои ксены в МИР, а не разрешаете доступ по идентификации айпи хотя бы,то это Ваши "проблемы".и, вообще, какой-то Вы злобный. опенсорсники ему не угодили, видите-ли...
> и, вообще, какой-то Вы злобный. опенсорсники ему не угодили, видите-ли...Злобности не почувствовал. Тем более в сторону опенсорсников.
А так да, что то не нравится (не подходит), сделай сам (или заплати за работу). Это же, не законодательно Вас "наградили", таким "добром" (добро же по указу не добро же ;)
удивляют подобные, что и пишут с ошибками простые слова...
какой там код...
не один дебаггер не справится.
> какая дыра из апача? Вы о чем?CVE-2017-9788 CVE-2017-3167 CVE-2017-3169 - выбирайте, свежак (еще одна для хостеров, вам не актуально).
> если Вы выставляете свои ксены в МИР, а не разрешаете доступ по
> идентификации айпи хотя бы,то это Ваши "проблемы".ну да, ну да - если у тебя конторка из пяти человек, это, конечно, не проблемы.
Только зачем в такой конторке гуевая система управления платформой для виртуалок, там и виртуалок-то все пять штук установлены в 2013м году, новая добавится через год, а еще через год либо они банкроты, либо сервер пора менять.
А когда их пара сотен, причем само управление виртуалками уже тоже пришлось отдать в другие подразделения, чтобы освободить себе время от рутины "заведите стописятпятую - копией шаблона тридцатой, а какой - не помним" или "мы все сломали, перезагрузите ее... упс, восстановите" - то и "идентификация айпи" уже не кажется панацеей - работничков в такой лавке уже слишком много, не все из них пряморукие, и айпишников, кстати, тоже.А vmware, наверное, дурачки, чего они свои вцентры все патчат и патчат, кто ж их "в мир выставляет-то"
> и, вообще, какой-то Вы злобный. опенсорсники ему не угодили, видите-ли...
не мне, вам же ж - не написали, представляете, нормального веб-междумордия. Хотя и спеки открыты, и попытки в общем-то были, и во всяких меганавороченных "orchestration" поделиях xen вроде как и поддерживается.
Ваше мнение.
но как Вы могли подсчитать кол-во vm и sr, коих более пяти сотен...
это не Вы добитесь к нам в периметровый шлюз, не?
> но как Вы могли подсчитать кол-во vm и sr, коих более пяти сотен...это ни о чем. Я и больше могу наклонировать совершенно ненужных vm, у меня железки потянут.
(главное, ничего в тех vm не делать)
А вот сотрудников в вашей хипста-лавке - кот наплакал (уборщицы не в счет). И да, для этого не надо ломать ваш дурацкий "шлюз" - это прекрасно видно по вашей писанине. Вот по всей этой бредятине "да чего там бояться каких-то дыр в апаче - мы вдвоем с васей точно его ломать не будем" и "идентификации по ip". (не говоря уже про успевание посмотреть, кто там ломится в ваш чудо-шлюз вместо сливания всех этих логов в devnull)У меня вот идентификация по сертификатам, которые, между прочим, экспайрятся, а не наследуются вместе с ip и рабочим местом, и через пяток итераций принадлежат уже неведомо кому. Но никакой уверенности, что там ходят только хорошие люди, у меня лично нет, я большую часть никогда не видел и не увижу, и поводов расслабляться и забывать про обновления внутри периметра (да не одного) тоже нет.
Все эти полумеры просто слегка сужают атакуемую площадь и позволяют чуть выиграть время - пока ставится срочно-апдейт, в том числе.
> почему бы ребятам из цитрикса не забубенить веб интерфейс на том же апаче?А почему это должно заботить Citrix? Веб-интерфейсов хватает, если хорошо поискать.
> А почему это должно заботить Citrix? Веб-интерфейсов хватает, если хорошо поискать.назовите первые три приличных, если нашли?
Обновлений для XenServer не будет, ждите XenServer 7.3.
Существует еще проблема, что обновиться на новую версию нельзя,
так как производители не успевают за Citrix или не хотят (Raid Adaptec 7805).
> Обновлений для XenServer не будет, ждите XenServer 7.3.стесняюсь спросить - а денег им заплатить не пробовали? Или это вам саппорт такое ответил?
> Существует еще проблема, что обновиться на новую версию нельзя,
> так как производители не успевают за Citrix или не хотят (Raid Adaptecну а зачем вы его покупали? Или для вас сюрприз, что адаптек категорически не желает открывать свои драйвера, со времен 2000го года, и с ними всегда будут проблемы у тех, кто выкладывает исходники?