古いバージョンのブラウザーを使用しています。MSN を最適にご利用いただくために、サポートされているバージョンをご使用ください。

仮想化ソフト「Xen」にPVゲスト脱出の脆弱性 仮想環境を破られる恐れ

ITmedia エンタープライズ のロゴ ITmedia エンタープライズ 2017/04/06
仮想化ソフト「Xen」にPVゲスト脱出の脆弱性 仮想環境を破られる恐れ: Xen ProjectのWebページ © ITmedia エンタープライズ 提供 Xen ProjectのWebページ

 オープンソースの仮想化ソフト「Xen」に、PV(ParaVirtualization/準仮想化)ゲストから脱出できる脆弱性が発見され、4月4日、修正のためのパッチが公開された。

 Xenのセキュリティ情報によれば、この脆弱(ぜいじゃく)性を悪用された場合、PVゲストが全てのシステムメモリにアクセスできてしまう恐れがあり、権限を昇格されたり、ホストのクラッシュや情報流出を引き起こす可能性がある。

 脆弱性はXen 4.8.x、Xen 4.7.x、Xen 4.6.x、Xen 4.5.x、Xen 4.4.xの各バージョンに存在していて、4日にリリースされた「xsa212.patch」のパッチで修正された。影響を受けるのはx86システムのみで、ARMシステムは影響を受けない。また、悪用できるのは64ビットのPVゲストに限られることから、HVMまたは32ビットのPVゲストのみを実行すれば、脆弱性は回避できるとしている。

 Xenはさまざまなホスティングサービスや製品にも利用されていることから、影響は広範に及ぶ。

 仮想専用サーバ(VPS)を提供する米Linodeは、米国や東京などの全データセンターで全てのホストのXenメンテナンスが必要になり、アップデートを適用するためレガシーXenホストサーバのリブートを行ったことを明らかにした。一方、Amazon Web Services(AWS)は、「AWS顧客のデータとインスタンスはこの問題の影響を受けない。顧客側の対応は不要」と説明している。

 Xenを使ったセキュリティ強化型OSの「Qubes OS」は4日付のセキュリティ情報で、今回の脆弱性を悪用されればQubesの提供する隔離状態を破られる可能性があると指摘。例えばWebブラウザやネットワーキングなどに存在する他の脆弱性と組み合わせれば、全Qubesシステムを制御される恐れもあると警告している。

ITmedia エンタープライズの関連記事

image beaconimage beaconimage beacon