https://opennet.ru/openforum/vsluhforumID3/112228.html Спустя месяц с момента публикации сведений о прошлой порции критических проблем доступна (https://xenbits.xen.org/xsa/) информация о новых 4 уязвимостях, из которых три (CVE-2017-14316 (https://xenbits.xen.org/xsa/advisory-231.html), CVE-2017-14317 (https://xenbits.xen.org/xsa/advisory-232.html), CVE-2017-14317 (https://xenbits.xen.org/xsa/advisory-234.html)) потенциально позволяют выполнить код с правами гипервизора и выйти за пределы текущего гостевого окружения. Одна уязвимость (CVE-2017-14317 (https://xenbits.xen.org/xsa/advisory-233.html)) даёт возможность инициировать крах процесса xenstored. Для эксплуатации наиболее опасных уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра. Для проявления всех уязвимостей, кроме CVE-2017-14316 (уязвимость в коде поддержки NUMA), гостевая система должна работать в режиме паравиртуализации. Всего за последние полгода в Xen было устранено 16 критических уязвимостей.<br><br><br>URL: https://www.qubes-os.org/news/2017/09/12/qsb-33/<br>Нов https://opennet.ru/openforum/vsluhforumID3/112228.html#21 Tue, 19 Sep 2017 06:22:49 GMT Чем вам Exim не угодил?<br><br>https://www.cvedetails.com/product/153/University-Of-Cambridge-Exim.html?vendor_id=92<br>https://www.cvedetails.com/product/19563/Exim-Exim.html?vendor_id=10919<br><br>Посмотрите на количество уязвимостей. Это не много.<br><br>Для справки, вот Xen: https://www.cvedetails.com/product-search.php?vendor_id=0&search=xen<br> https://opennet.ru/openforum/vsluhforumID3/112228.html#20 Fri, 15 Sep 2017 09:57:16 GMT &gt;&gt;В квм же только HVM и в этом режиме с ксеном паритет по косякам.<br>&gt; Нет, и тут зен сливает.<br>&gt; Этим летом, к прмеру, linode просто панически сбёг с него на квм, <br>&gt; даже апгрэйд давали за свой счёт :) <br><br>Linode? Не, не слышал. :)<br>Вот когда Амазон панически сбегет с ксена тогда будет прецедент.<br>У квм только одно преимущество перед ксеном -- за счёт ksm можно нехило оверпровизионить количество виртуалок на ноду, за счёт снижения производительности и с риском положить ноду, но это позволяет поднять ощутимо больше бабла.<br> https://opennet.ru/openforum/vsluhforumID3/112228.html#19 Fri, 15 Sep 2017 09:44:49 GMT Где там? В квм?<br>И KVM и Xen HVM используют аппаратный изолятор в CPU для запуска ядра гостевой ОС.<br>Гибридный режим есть в Xen, называется PVH.<br> https://opennet.ru/openforum/vsluhforumID3/112228.html#18 Fri, 15 Sep 2017 06:21:41 GMT Там зато есть _настраиваемый_ гибридный режим, в котором остается только очень тонкая прослойка. А не выбор из двух стульев.<br> https://opennet.ru/openforum/vsluhforumID3/112228.html#17 Fri, 15 Sep 2017 03:31:26 GMT &gt;Для эксплуатации наиболее опасных уязвимостей атакующий должен иметь доступ к выполнению кода в гостевой системе с правами ядра, ... гостевая система должна работать в режиме паравиртуализации.<br><br>А не многовато условий для эксплуатации уязвимости?<br> https://opennet.ru/openforum/vsluhforumID3/112228.html#16 Thu, 14 Sep 2017 22:50:03 GMT &gt;В квм же только HVM и в этом режиме с ксеном паритет по косякам.<br><br>Нет, и тут зен сливает. <br>Этим летом, к прмеру, linode просто панически сбёг с него на квм, даже апгрэйд давали за свой счёт :)<br> https://opennet.ru/openforum/vsluhforumID3/112228.html#15 Thu, 14 Sep 2017 22:09:47 GMT Чемпионом по количеству дырок всё равно останется сендмейл, написанный гомосеком. ..ну вы поняли.<br> https://opennet.ru/openforum/vsluhforumID3/112228.html#14 Thu, 14 Sep 2017 20:14:11 GMT Вы о чем?<br>В ксене 2 режима виртуализации -- PV и HVM.<br>Большинство косяков ксена относятся к режиму PV. <br>В квм же только HVM и в этом режиме с ксеном паритет по косякам.<br> https://opennet.ru/openforum/vsluhforumID3/112228.html#13 Thu, 14 Sep 2017 20:07:46 GMT &gt; 16 за полгода = 2.7 в месяц ~= по одной в неделю. <br> &gt; А теперь давайте пошутим про индусов в Майкрософте.<br><br>А давайте!<br>https://www.theregister.co.uk/2017/04/11/patch_tuesday_mess/<br>&gt; Cowardly Microsoft buries critical Hyper-V, WordPad, Office, Outlook, etc security patches in normal fixes