Qubes-Entwickler warnen vor gefährlicher Xen-Lücke

April 8, 2017 - 9:44 pm in OSS

[ad_1]

Über eine Lücke in der Paravirtualisierung von Xen kann ein Gastsystem den kompletten Speicher des Hosts auslesen. Auch die auf Sicherheit ausgelegte Linux-Distribution Qubes ist betroffen.

In der auf Sicherheit ausgerichteten Linux-Distribution Qubes klafft eine Schwachstelle, die auf eine “gefährliche Sicherheitslücke” in der Speicherverwaltung des Hypervisors Xen zurückgeht. So jedenfalls die Einschätzung der Qubes-Entwickler. Das Xen-Sicherheitsteam gibt keine Einschätzung darüber ab, wie gefährlich die Lücke ist, weist aber darauf hin, dass sie von einem Gastsystem missbraucht werden kann, den kompletten Speicher des physischen Hosts auszulesen. Das wiederum ermöglicht es dem Gast, seine Rechte auszuweiten und Daten auszulesen, auf die er nicht zugreifen dürfte.

Betroffen sind alle aktuellen Versionen von Xen, allerdings nur die x86-Prozessorarchitektur. Des Weiteren können nur 64-Bit-Gastsysteme die Lücke ausnutzen. Sie klafft im Paravirtualisierungssystem von Xen, was bedeutet, dass Gäste, die stattdessen mit einer Hardware Virtual Machine (HVM) laufen, nicht betroffen sind. Die Paravirtualisierung ist den Qubes-Entwicklern ohnehin zu kompliziert, weshalb die nächste Major-Version der Distribution (Qubes 4.0) auf HVM umsteigen wird.

Einen Patch für Xen haben die Entwickler ihrem Security Advisory beigefügt. Details dazu, wie man betroffene Qubes-Versionen absichert, finden sich in einer Sicherheitsmeldung des Qubes-Projektes. (fab)

[ad_2]

Read more on: Source

Programmiersprache D: Referenzcompiler DMD unter freier Lizenz

April 8, 2017 - 9:20 pm in Software-Entwicklung

[ad_1] Gute Nachrichten für die D-Community: Der Referenzcompiler DMD steht jetzt komplett unter Open-Source-Lizenz. Das Timing könnte nicht besser…

Malware auf Zerstörungsjagd: BrickerBot legt unsichere IoT-Geräte still

April 8, 2017 - 9:15 pm in Security

[ad_1] Unsichere IoT-Geräte werden meist im Stillen gekapert und als Hilfsarmee für DDoS-Attacken eingesetzt. Jetzt wurde eine Malware entdeckt, die…

UBPorts-Projekt will Unity am Leben halten

April 8, 2017 - 3:42 am in OSS

[ad_1] Canonical hat aufgegeben, aber die Community noch nicht: Jetzt wollen unabhängige Entwickler Unity und Ubuntu Touch alleine weiterentwickeln. Nachdem Ubuntu-Geldgeber Canonical das Ubuntu-Phone-Projekt und damit auch den Unity-Desktop für tot erklärt…

Developer Snapshots: Programmierer-News in ein, zwei Sätzen

April 8, 2017 - 3:15 am in Software-Entwicklung

[ad_1] heise Developer fasst jede Woche bisher vernachlässigte, aber doch wichtige Nachrichten zu Tools, Spezifikationen oder anderem zusammen – dieses Mal u.a. mit Visual Studio, Cloud Foundry, Zend Server, Material Design und Studentenlizenzen für BitBucket…

Sicherheitsforscher: IoT-Hersteller machen es Bugjägern unnötig schwer

April 8, 2017 - 3:10 am in Security

[ad_1] Ein Sicherheitsexperte hat nicht nur diverse Bugs in Kameras, NAS-Laufwerken, mobilen Routern oder einem Retinascanner gefunden, sondern auch dokumentiert, wie wenig die betroffenen Hersteller mit solchen Meldungen anfangen können. Jan Hörsch vom…

Schwesternrivalität: Die IETF macht der ICANN das Recht auf Domainvergabe streitig

April 7, 2017 - 10:30 am in Internet

[ad_1] Eigentlich vergibt nur die ICANN Top-Level-Domains und die IETF schafft neue Protokolle, auch für das Domain Name System. Jetzt wankt diese Arbeitsteilung wegen eines schwelenden Streits um die Domain .homenet. In der Internet Engineering Task Force…

Ende der LiveCD: Version 6.9 der Linux-Distribution CentOS freigegeben

April 7, 2017 - 9:40 am in OSS

[ad_1] Zwei Wochen nach der Veröffentlichung von RHEL 6.9 hat das CentOS-Projekt seine Linux-Distribution aktualisiert. Mehrere Änderungen gibt es bei Funktionen zur Verschlüsselung. Außerdem ist die LiveCD weggefallen. Im Rahmen seiner Freigabe der Version…

COS: Ein Container-Betriebssystem von Google

April 7, 2017 - 9:10 am in Software-Entwicklung

[ad_1] Mit dem Container-Optimized OS auf Basis von ChromiumOS stellt die Google-Cloud jetzt eine Betriebssystem zur Verfügung, das ausschließlich auf den Betrieb von Docker-Containern optimiert ist. Kubernetes-Support ist auch enthalten. Google bietet in…

Game Over: Online-Räuber kapern komplette Domain-Infrastruktur einer Bank

April 7, 2017 - 9:05 am in Security

[ad_1] Was passiert, wenn es Cyber-Gangstern nicht mehr reicht, einzelne Bankkunden zu beklauen? Dann kapern sie das DNS der Bank und übernehmen gleich alle Domains des Geldinstitutes. So geschehen voriges Jahr in Brasilien. Im Oktober 2016 haben Cyber-Gangster…