近日,Xen發出高危漏洞警告,稱由于Xen存在部分漏洞,建議所有相關的服務器進行重啟來修復這些漏洞,而細節將在近期公布。因此,采用Xen組件的云計算廠商忙著在此之前修復該漏洞,多數采用了服務器重啟方式解決,其中亞馬遜將有部分服務器需要重啟,而國內云計算廠商阿里云則采用了全部熱升級的方式完成。
Xen在云計算行業為人熟知,由劍橋大學開發。使用者包括亞馬遜EC2、阿里云ECS、IBM SoftLayer、Linode及Rackspace Cloud等主流廠商。
根據Xen所公布的安全通告(Xen Security Advisory),準備在近期公布5個安全漏洞,其中3月10日公布的漏洞較為高危。因此得到通知的云計算廠商集中在10日之前通知客戶處理方案。
目前來看,多數云計算廠商采用了服務器重啟的解決方式。但這樣將中斷云計算服務,使得客戶業務無法開展。因此,各家廠商早早提醒用戶關注重啟時間表,則也意外成為云計算技術的競技臺。
據了解,早先亞馬遜公告通知客戶,表示有大約10%的服務器受影響需要重啟,隨后該公司技術團隊找到熱升級的方式,但仍有0.1%的服務器需要重啟。考慮到亞馬遜云計算規模,這一漏洞顯然影響面頗大。
而Linode則干脆采用了重啟大法,同時表示這是因為漏洞高危,“在重啟期間一般來說2小時的停機是正常的,但通常實際關機時間會更少。”
另一家云計算廠商Rackspace也為服務器集群安排了重啟時間表。
剛剛進入美國的阿里云則于3月9日發布公告,表示已經找到了避免服務器重啟的熱升級方案,理論上不再需要重啟服務器,不會影響到客戶在阿里云上服務的正常開展。
此外,阿里云也給出了風險賠償預案,如果用戶受影響則賠償百倍服務時長。“我們做了很多種預案,但任何一種修復與升級都存在一定風險,如果在此期間服務出現異常我們的技術支持人員會及時與您聯系。與此同時,我們仍舊承諾如果出現故障,您可以得到百倍時長的賠償。”
-------------------------------------------------------
公告原文如下:
Xen安全維護公告
近期,Xen安全團隊對全球所有使用Xen的云計算廠商發布安全通知,Xen Hypervisor 存在高危漏洞,建議盡快修復這些漏洞。而漏洞詳情將在近期對外公開。
得到消息之后,阿里云技術團隊就此進行了緊急技術攻堅。現在我們找到了一種通過在線升級來修復這個漏洞的方案,理論上不再需要像其他云計算廠商一樣重啟服務器,不會影響到您在阿里云上服務的正常開展。
在經過充分的環境驗證之后,這個方案將在3月9日開始正式實施。
我們做了很多種預案,但任何一種修復與升級都存在一定風險,如果在此期間服務出現異常我們的技術支持人員會及時與您聯系。與此同時,我們仍舊承諾如果出現故障,您可以得到百倍時長的賠償。
阿里云計算
2015年3月9日
京公網安備 11010502049343號