Xen 修复 7 年前高危提权漏洞，AWS、阿里云和 Linode 紧急响应

近日，阿里云安全漏洞研究团队的栾尚聪（好风）发现并提交了一处 Xen 平台下的虚拟机逃逸漏洞。利用该漏洞，攻击者可以完全掌握宿主机及其他虚拟机的控制权，严重威胁系统及数据的安全。Xen 平台迅速推出了相应的补丁，国家互联网应急中心也相应发表安全公告。

作为领先的开源虚拟化平台，Xen 为诸多云平台提供着基础建设。因此，保证Xen 平台的安全具有十分重要的意义。Xen 项目的安全团队也一直在努力进行这方面的工作。然而，阿里云安全漏洞研究团队近日发现的虚拟机逃逸漏洞，却已经在Xen 中存在了7 年。该漏洞编号为XSA-148/ CVE-2015-7835 ，代号“破天（Dome Breaking）”。

“破天”漏洞从 Xen 3.4 版本开始引入，后续版本包括最新发布的 Xen 4.6 都受该漏洞的影响。该漏洞只在 32 位或者 64 位的 x86 系统中存在。其基本原理为：当满足一定条件，用于控制验证 level 2 影像页表（Xen Page）的代码可被绕过，导致 PV 模式下的普通用户（如 Guest）可使用超级页表（2MB）映射权限重新定义可写入的映射。由此，攻击者可以突破 Xen 对虚拟机只能以只读权限拥有 Page
Tables 的限制，实现了任意物理内存读写。这样，攻击者就可以最终绕过软硬件上的所有安全机制的限制，在
Xen Hypervisor 上下文环境和 Dom0 上下文环境执行任意代码。综合利用该漏洞，恶意攻击者可提升普通用户权限，进而控制整个虚拟机系统，构成用户主机数据泄漏风险。

国家信息安全漏洞共享平台（CNVD）对该漏洞的综合评级为“高危”。而 Amazon 和其他云服务提供商之前已经收到了 Xen 的通知。因此， Linode 和 Amazon 都向客户发表声明，对系统进行了重启升级或者免重启升级。目前，针对 Xen 的 4.6.x、X4.5.x 和 X4.4.x/X4.3.x 版本，Xen 官方给出了不同的漏洞补丁： xsa148.patch 、 xsa148-4.5.patch 和 xsa148-4.4.patch 。

安全研究公司 Invisible Things Lab 的高级系统开发者 Marek Marczykowski-Górecki 表示，该漏洞给予了准虚拟化的虚拟机对系统的完全控制权。此漏洞为他所见到的 Xen hypervisor 中出现的最严重的漏洞。而该漏洞竟然存在了 7 年之久没有被 Xen 团队发现。Marek 认为，有理由怀疑 Xen 团队是否对安全方面足够重视以及 Xen 是否足够安全。同时，这也是继 7 月份 QEMU 开源机器仿真器之后的第二个逃逸漏洞。作为一个理应成熟、稳定的平台，Xen 频频爆出的漏洞实在让人怀疑其安全性。

Xen 项目安全团队的 Ian Jackson 则在官方博客发文表明了自己对此事的看法。他认为，此次漏洞的确说明Xen 在安全方面还有缺陷，但是并不说明Xen 就不比其他虚拟技术安全。Ian 透露，作为一个开源项目，Xen 一方面会经常受到很多新的分析技术的挑战，另一方面也需要公开所发现的漏洞。这两方面都容易让公众产生错觉，以为Xen 存在很多漏洞。Ian 坚持认为，相比于其他的虚拟技术，Xen 仍然要安全很多。他最后表示，希望用户能够继续支持Xen，并欢迎提出更多安全方面的意见和建议。

感谢魏星对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作，请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博（ @InfoQ ， @丁晓昀），微信（微信号： InfoQChina ）关注我们，并与我们的编辑和其他读者朋友交流（欢迎加入 InfoQ 读者交流群）。