《企業網D1Net》11月29日訊
EMC VMware最近更新其vSphere API,旨在修復ESX和ESXi在服務方面的漏洞。該公司還更新了ESX服務控制臺。
據VMware所說,如果不應用API補丁,公司就給未經身份驗證的用戶提供了機會,這些用戶發送惡意API請求并且禁用主機守護進程。這種入侵可以妨礙主機的管理活動,但是在主機上運行的VMs將不會受到影響。
虛擬化安全公司HyTrust的總裁和創始人Eric Chiu說,漏洞的確可以被利用, 因此當今虛擬化以及云環境的安全問題顯得尤為重要。畢竟,這是數據中心新的“操作系統”,并提供入口可訪問虛擬機,虛擬網絡,關鍵任務的企業應用程序以及虛擬化的存儲資源。考慮到這些,虛擬化確實是入侵和攻擊的首要目標,特別是管理面是最容易被入侵的,也是攻擊虛擬環境關鍵一步。
除了API修復,VMware 還更新了ESX服務控制臺,解決多個安全問題,包括控制臺的python包,nspr和nss包。其中,它解決了由欺詐DigiNotar根證書造成的證書信任問題。這一問題與一起網絡入侵有關。2011年7月發生了臭名昭著的DigiNotar的安全入侵,導致一個惡意黑客使用公司的證書權威基礎設施給一些引人注目的領域發行了數以百計的流氓數字證書。
VMware公司平臺安全的主管伊恩•穆赫蘭德稱,在今年11月初,該公司警告,黑客已經獲取了公司的ESX管理程序源代碼。源代碼來自2004年并且與今年4月發布的其他代碼相關。
幾年來,關于虛擬化軟件安全漏洞的報告不斷增加。隨著更多的公司采用虛擬化這項技術,這給惡意攻擊黑客提供了一個明顯的目標,VMware公司并不是唯一的目標。例如,去年6月,美國計算機緊急響應小組發布了一個安全警告,一些64位操作系統和在英特爾cpu上運行的虛擬化軟件容易受到本地特權擴大攻擊。大衛馬歇爾說,漏洞是特別值得注意,因為它不僅僅影響到一個單一的供應商,而是許多不同的64位虛擬機監控程序和操作系統。
同樣,來自北卡羅萊納大學、威斯康辛大學和RSA實驗室的計算機科學家們最近發布了一篇論文(PDF格式),概括說明了他們設計的一個虛擬機,它能夠提取存儲在單獨虛擬機上的個人密碼,這些單獨虛擬機存在于在相同的硬件上。
據SAN研究所稱,隨著更多的公司將他們的虛擬基礎構架轉換到私有云,內部的共享服務運行在虛擬基礎構架之上安全風險正在繼續升級。該組織指出,安全架構、政策以及程序需要適應在一個云基礎構架環境中工作。
京公網安備 11010502049343號