オープンソースの仮想化ソフト「Xen」に、PV（ParaVirtualization／準仮想化）ゲストから脱出できる脆弱（ぜいじゃく）性が発見され、4月4日、修正のためのパッチが公開された。

Xenのセキュリティ情報によれば、この脆弱性を悪用された場合、PVゲストが全てのシステムメモリにアクセスできてしまう恐れがあり、権限を昇格されたり、ホストのクラッシュや情報流出を引き起こす可能性がある。

Xen Security Advisoryで脆弱性の情報が公開されている

脆弱性はXen 4.8.x、Xen 4.7.x、Xen 4.6.x、Xen 4.5.x、Xen 4.4.xの各バージョンに存在していて、4日にリリースされた「xsa212.patch」のパッチで修正された。影響を受けるのはx86システムのみで、ARMシステムは影響を受けない。また、悪用できるのは64ビットのPVゲストに限られることから、HVMまたは32ビットのPVゲストのみを実行すれば、脆弱性は回避できるとしている。

Xenはさまざまなホスティングサービスや製品にも利用されていることから、影響は広範に及ぶ。

Xen ProjectのWebページ

仮想専用サーバ（VPS）を提供する米Linodeは、米国や東京などの全データセンターで全てのホストのXenメンテナンスが必要になり、アップデートを適用するためレガシーXenホストサーバのリブートを行ったことを明らかにした。一方、Amazon Web Services（AWS）は、「AWS顧客のデータとインスタンスはこの問題の影響を受けない。顧客側の対応は不要」と説明している。

Xenを使ったセキュリティ強化型OSの「Qubes OS」は4日付のセキュリティ情報で、今回の脆弱性を悪用されればQubesの提供する隔離状態を破られる可能性があると指摘。例えばWebブラウザやネットワーキングなどに存在する他の脆弱性と組み合わせれば、全Qubesシステムを制御される恐れもあると警告している。

Copyright © ITmedia, Inc. All Rights Reserved.