Xen虚拟机管理10个月内连曝3个高危虚机逃逸漏洞

Xen半虚拟化模式被证明是严重漏洞之源，可致虚拟机逃逸攻击。

Xen项目的虚拟机管理程序使用广泛，然而漏洞不可避免， 该项目最近就修复了3个漏洞，都是可以导致虚拟机内运行的操作系统得以访问实体机系统内存的高危漏洞 ——虚拟机和实体机间关键安全层被打破。

被修复的漏洞中，有2个要在特定条件下才可以被利用，攻击使用受限。但有1个是高可靠漏洞，对多租户数据中心造成严重威胁。多租户数据中心里，各客户的虚拟化服务器共享同一套底层硬件。

这些漏洞尚未被分配CVE号，但在Xen安全公告中被称为 XSA-213、XSA-214和XSA-215。

隔离Xen虚拟机应用的 Qubes OS 操作系统安全团队表示：“XSA-213是Xen中致命的高可靠度漏洞。 Qubes OS 项目8年历史中，我们发现了4个此类漏洞： XSA-148、XSA-182、XSA-212，以及现在的XSA-213。”

这4个高危且易用的漏洞中，有3个是在过去10个月里被发现并修复的，有2个甚至就在上个月——XSA-182在2016年7月修复，XSA-212在今年4月，而XSA-213就在这个月2号。

这些漏洞的另一个共性是： 全都影响Xen半虚拟化(PV)虚拟机的内存虚拟化。 Xen支持两种虚拟机：采用硬件辅助虚拟化的硬件VM，和采用基于软件虚拟化的半虚拟化VM。

2号修复的另两个漏洞，XSA-214和XSA-215，同样影响半虚拟化VM。区别在于，XSA-214需要两台恶意客户VM一起工作才可以访问系统内存，而XSA-215只影响物理内存达5TB或3.5TB配置边界的x86系统。

XSA-213的一个限制是，它只能在64位PV客户机上被利用，于是，只运行HVM或32位PV客户机的系统是免疫的。

Xen开发者发布的Xen 4.8.x、Xen 4.7.x、Xen 4.6.x和Xen 4.5.x不到，可以手动应用到受影响系统上。

开源Xen虚拟机管理程序，被云计算提供商和虚拟专用服务器(VPS)托管公司广为使用，其中有些公司已经提前收到了补丁，并被迫安排停机维护时间。

比如说，VPS提供商Linode不得不重启其某些遗留 Xen PV 主机，才能应用修复程序。该公司建议客户迁移至其基于HVM的服务器以避免将来的停机时间。

同时，AWS称，其客户数据和实例不受这些漏洞影响，客户不需要采取任何行动。

Qubes OS 为构建了一个最安全的桌面操作系统而自豪，却受够了不得不反复处理 Xen PV 漏洞。于是，过去10个月的痛苦经历，让他们花费了额外的精力将其下一个OS版本—— Qubes 4.0，转向了HVM。

我们原来期望可以过渡到在所谓的PVH虚拟化模式下运行所有 Linux VM，摒弃所有的I/O模拟器。然而，事实是，Linux内核并未准备好迎接这一转变。于是，Qubes 4.0 中，我们将采用经典的HVM模式——I/O模拟器在 PV VM 中经沙箱模拟运行(Qubes 3.x 中运行 Windows AppVM 就是这么做的。)

好消息是，只要 Linux 内核添加必要的支持，Qubes就可以转向PVH，甚至，如果有更好的选择出现，完全替代掉Xen也不是不可能。