上周三，一款潛伏了11年之久的安全漏洞“毒液”被美國知名安全公Crowd Strike發現并曝光。雖然該漏洞從未被利用，目前僅存在理論風險。阿里云在5月19日宣布已快速響應，采用全部熱升級的方式，在用戶沒有感知的情況下，解決了此次的高危漏洞問題。

這個被稱為“毒液”的QEMU漏洞，主要幫助黑客利用長期被忽視的虛擬軟盤控制器代碼“行兇“。通過它，黑客完全有可能借著被黑的“虛擬機”(VM)這個通道，控制操作系統的主機，以及在同一臺主機上運行的其他任何客戶虛擬機。考慮到包括亞馬遜，甲骨文，思杰，和Rackspace在內，大型云服務供應商都很大程度上依賴于QEMU為基礎的虛擬化技術，所以這個漏洞潛在可能造成的安全隱患相當大。

漏洞一旦曝光，為了不影響業務安全，需要云計算公司對漏洞快速修復。而不影響業務運行的漏洞熱修復技術門檻卻很高，同時需考慮多種軟硬件組合，給云計算廠商帶來了極大挑戰。阿里云在虛擬化方面有著比較深厚的技術積累，“毒液“公布之后，阿里云虛擬化團隊快速對該漏洞進行審慎的評估，并制定出應對方案。經過緊急測試驗證方案安全有效之后，第一時間在全集群進行了QEMU漏洞熱修復。

阿里云資深專家張獻濤博士表示，“經過Xen漏洞熱修復等實踐，阿里云成為全球少數同時具備熱修復Hypervisor、 Dom0 內核，以及Qemu漏洞能力的云計算廠商。”此外，他還表示，“ 對于正在研發的新一代虛擬化架構，不但支持熱修復，還可以支持所有組件熱升級，這樣安全漏洞可以免疫，還可以進行新的特性的快速迭代。”

今年3月，Xen被爆出多個高危漏洞，多數云計算廠商選擇重啟進行修復。而阿里云采用熱修復技術避免了客戶重啟，該技術方案隨后在Qcon上作分享，等到與會人員的非常高的評價。

云計算服務是一個由上萬個組件構成的復雜系統，對技術要求極高。同時，從理論和實踐中均不存在完美的，零漏洞，零bug的系統。關鍵在于及早發現并修復錯誤。對此，張獻濤認為， “態度漏洞是比安全漏洞更加可怕的問題“ ，對待此類漏洞體現了一家云計算廠商的技術能力和對客戶數據安全的重視程度。

“毒液“的出現也讓很多人聯想到去年引發數據安全討論的漏洞”心臟滴血“。張獻濤特別解釋，毒液和Heartbleed沒有可比性。因為Heartbleed允許黑客探測數以百萬計的系統。而毒液入侵的門檻很高，攻擊者要想通過訪問軟盤控制器IO端口獲得Qemu甚至宿主機權限，需要突破的防線非常多，比如需要獲得Qemu的精確二進制代碼，以及需要突破修主機的訪問控制設置等。這也是為什么該漏洞存在了11年，一直沒有被利用過。