URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 87819
[ Назад ]

Исходное сообщение
"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."

Отправлено opennews , 18-Дек-12 21:35 
Доступны (http://blog.xen.org/index.php/2012/12/18/xen-4-2-1-and-4-1-4.../) корректирующие релизы свободного гипервизора Xen - 4.2.1 и 4.1.4, в которых не добавлено новшеств, но проведена работа над ошибками. В первую очередь стоит обратить внимание на то, что в выпуске 4.2.1 устранено одиннадцать, а в версии 4.1.4 - восемьнадцать уязвимостей. Большинство уязвимостей позволяют инициировать из гостевой системы отказ в обслуживании всей инфраструктуры виртуализации. Тем не менее несколько проблем  (XSA-32 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...), XSA-29 (http://lists.xen.org/archives/html/xen-announce/2012-12/msg0...)) не исключают возможность выполнения кода на стороне хост-системы при выполнении действий в гостевом окружении, работающем в режиме паравиртуализации.


Дополнительно отмечается исправления около 100 проблем, не связанных с безопасностью. Например, устранено зависание при попытке перехода в ждущий режим (suspend to RAM), решены проблемы с управлением временем, внесены улучшения в стек libxl и решены проблемы при использовании вложенной виртуализации.


URL: http://blog.xen.org/index.php/2012/12/18/xen-4-2-1-and-4-1-4.../
Новость: http://www.opennet.me/opennews/art.shtml?num=35638


Содержание

Сообщения в этом обсуждении
"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено Аноним , 18-Дек-12 21:35 
Нифига себе в нем дыр находят...

"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено metallic , 19-Дек-12 10:26 
Факты - вещь гибкая, в какую сторону надо, в ту и крути.
По этой же новости можно сказать: "Нефига себе в других системах виртуализации сколько дыр не находят" или "Нефига себе сколько дыр умалчивают разработчики других систем"

"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено Аноним , 19-Дек-12 20:49 
FAIL

Дыры, найденные в xen - это факт.
Дыры, не найденные/умолчанные в других системах виртуализации - это чьи-то личные догадки.
А догадка - антоним факта.


"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено ram_scan , 19-Дек-12 22:49 
Программ сложнее hello world без дыр не бывает. Это факт (почему так - читайте классиков). Кстати бажным вполне может оказаться и хелловорлд, унаследовав плюху из системной библиотеки. Причем количество багов и сложность их обнаружения растет экспоненциально по отношению к объему кода.

Если в каких-то программах сложнее хелловорлда дыр не находят, то это означает что или 1) это неуловимые джо и их там просто массово не ищут и 2) их там находят, но "власти скрывают" (c).


"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено pavlinux , 18-Дек-12 21:36 
Это такой подарок Йоанне Руткитовской? Такое ощущение, что они специально
над ней прикалываются, вкладывая фиксы после релиза Qubes. :)

"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено Аноним , 18-Дек-12 21:52 
Молодцы, чо. Приятно посмотреть на лица тех ребят, которые давеча утверждали, что "xen - это только гипервизор, код у него маленький, и все дыры уже наверняка отловили".

"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено all_glory_to_the_hypnotoad , 18-Дек-12 22:26 
да этим ребятам бесполезно что-либо объяснять

"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено Аноним , 18-Дек-12 22:29 
Так я и не пытаюсь. Надо же отличать серьезную дискуссию от похода в цирк :)

"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено Аноним , 19-Дек-12 16:42 
А прикинь сколько дыр в толстых гипервизорах, если в тонких столько много находят?

"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено Аноним , 19-Дек-12 20:50 
> А прикинь сколько дыр в толстых гипервизорах, если в тонких столько много находят?

На основании имеющихся данных - прикинуть не получается.
Размер - далеко не единственный фактор, влияющий на уязвимость.


"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено Аноним , 18-Дек-12 23:34 
Приятная новость, видно, что проект активно развивается. Сразу вспомнился Qubes обсуждаемый в соседней ветке, данная новость про xen только ставит перед фактом, что даже сравнительно небольшой код может содержать множество ошибок и уязвимостей. Посмотрим, будет ли какой нить компетентный комментарий от Йоанны Руткитовской, хотя, что тут можно сказать. Скажет я верила им, а они, подвели меня…

"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено etw , 19-Дек-12 00:01 
Самое замечательное, что пофиксили, наконец, определение объема памяти при запуске на UEFI платформе.

"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено Анонимец , 19-Дек-12 08:56 
Странно, почему-то, читая упоминания о Qubes в этом треде, вижу много желчи?! Кто-нибудь может однозначно сказать, что патчи для этих багов не были написаны той же командой, что пилит Qubes?! Ну или, по крайней мере, не без их помощи?

P.S. Завидуйте молча!


"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено Аноним , 19-Дек-12 10:37 
Осталось узнать, чему там завидовать.

"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено Аноним , 19-Дек-12 11:35 
>  Кто-нибудь может однозначно сказать, что патчи для этих багов не были написаны той же командой, что пилит Qubes?! Ну или, по крайней мере, не без их помощи?

http://xenbits.xen.org/hg/xen-4.2-testing.hg/
http://xenbits.xen.org/hg/xen-4.1-testing.hg/

сами управитесь?

> P.S. Завидуйте молча!

было бы чему завидовать…


"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено медведко , 20-Дек-12 07:16 
VMWARE вроде на XENе свою виртуализацию сгородила. Интересно, когда сии матерые проприерасы исправят эти же ошибки? Никогда? :)

"Обновление системы виртуализации Xen 4.2.1 и 4.1.4 с устране..."
Отправлено etw , 30-Дек-12 18:04 
> VMWARE вроде на XENе свою виртуализацию сгородила. Интересно, когда сии матерые проприерасы
> исправят эти же ошибки? Никогда? :)

У VMware своя система виртуализации, причем, написанная раньше, чем xen, на несколько лет и рвущая его по производительности по всем параметрам.