摘要:日前,阿里云宣布采用全部热升级的方式,解决了高危漏洞“Venom”(毒液)。此漏洞是于上周三被美国知名安全公司Crowd Strike发现并曝光。该安全漏洞已经潜伏了11年之久,目前存在理论风险,尚未被利用。
这个被称为“毒液”的QEMU漏洞,主要帮助黑客利用长期被忽视的虚拟软盘控制器代码“行凶”。通过它,黑客完全有可能借着被黑的“虚拟机”(VM)这个通道,控制操作系统的主机,以及在同一台主机上运行的其他任何客户虚拟机。考虑到包括亚马逊,甲骨文,思杰,和Rackspace在内,大型云服务供应商都很大程度上依赖于QEMU为基础的虚拟化技术,所以这个漏洞潜在可能造成的安全隐患相当大。
今年3月,Xen被爆出多个高危漏洞,多数云计算厂商选择重启进行修复。而阿里云采用热修复技术避免了客户重启,该技术方案随后在Qcon上作分享,得到与会人员的非常高的评价。
云计算服务是一个由上万个组件构成的复杂系统,对技术要求极高。同时,从理论和实践中均不存在完美的,零漏洞,零bug的系统。关键在于及早发现并修复错误。对此,阿里云资深专家张献涛认为,“态度漏洞是比安全漏洞更加可怕的问题”,对待此类漏洞体现了一家云计算厂商的技术能力和对客户数据安全的重视程度。
“毒液”的出现不禁让人联想到,去年引发数据安全讨论的“Heartbleed”漏洞。张献涛解释道,“Heartbleed”和“毒液”并不具可比性,因为“Heartbleed”允许黑客探测数以百万计的系统,但“毒液”的入侵门槛很高。攻击者如想通过访问软盘控制器I/O端口获得Qemu真正宿主机权限,需要突破很多防线,比如获得Qemu的精确二进制代码,需要突破宿主机的访问控制设置等。这也是该漏洞在11年间,一直没被利用过的原因。
来源:机房360
