نرم‌افزار VM اصلاحیه‌ی کارگزار vCenter را دوباره منتشر کرد

پروژه‌ی Xen اصلاحات اخیر در را روش‌های محافظت جدیدش فراموش کرده است؛ آیا راهی برای اجرای یک هایپرویژن از نوع Cloud وجود دارد؟
پروژه‌ی Xen اعلام کرد که یک روش محافظت جدید برای نسخه‌ی ۴٫۶٫۱ برای هایپرویژن (ماشین ناظر مجازی) منتشر کرده است اما در کنار آن فراموش کرده است که اصلاحات اخیر خود را بیافزاید.
در این اطلاعیه آمده است: «توجه کنید…به علت دو سهل‌انگاری رخ‌داده در دو نسخه‌ی XSA-۱۵۵ و XSA-۱۶۲، تا حدی تعمیرات و اصلاحات برای آن‌ها در این نسخه اعمال شده است. آشفتگی نیز برای آخرین نسخه‌ی ۴٫۴٫۴ نیز به کار رفته است و آخرین به‌روزرسانی برای Xen۴.۴ نیز منتشر شده است.»
فراموش کردن افزودن اصلاحات ریسک بزرگی است چرا که XSA-۱۵۵ اجازه‌ی اجرای کد دلخواه در خود را می‌دهد و XSA-۱۶۲ نیز به شخصی که بدان دست می‌یابد اجازه می‌دهد از مزیت‌های فرآیند Qemu استفاده کند.
این بی توجهی غیرعمدی نیز قابل توجه است زیرا در این دو ماه گذشته این دومین افتضاح امنیتی است که رخ داده است: در دسامبر گذشته، پروژه‌ی Xen سیاست انتشار اشکالات خود را نادیده گرفت و اشکالی را بدون دو هفته ممنوعیت معمول به دنیا معرفی کرد. این سیاست برای این طراحی شده است که مطمئن شود اپراتورهای cloud که از هایپرویژن استفاده می‌کنند، به طور مثال خدمات وب آمازون، آن‌قدری زمان دارند که بتوانند پیش از آن که در دنیا شناخته شوند آن اشکال را رفع کنند. تصور می‌شود این سیاستی که اشکالات xen را معرفی کرده است، روی تبدیل‌شدن میلیون‌ها VM در cloud به ظرف عسل نفوذگرها تأثیر گذاشته است.
تعداد زیادی از کاربران Xen اصلاحات منتشرشده را شدیداً پیگری و اجرا می‌کنند، بنابراین فراموش کردن اصلاحات نمی‌تواند مسئله‌ای باشد. اما از قلم انداختن آن برای کسانی که کم‌تر Xenخود را ارتقاء می‌دهند یا کسانی که آن را برای اولین‌بار نصب کرده‌اند می‌تواند یک تله محسوب شود.

منبع: asis

درباره نماد امنیت وب

“نماد امنیت وب” به عنوان یکی از شرکت های پیشتاز در زمینه امنیت نرم افزار و سرویس های تحت وب، با ارائه سرویس های امنیتی برای تمامی کسب و کار ها و دارای نمایندگی شرکت Acunetix (اکوانتیکس) بعنوان محبوب ترین اسکنر امنیتی black box در دنیا، ایمنی وب سایت شما را در مقابل حمله هکر ها تضمین می کند.