https://www.opennet.ru/openforum/vsluhforumID3/111159.html В гипервизоре Xen выявлены (https://blog.xenproject.org/2017/05/02/updates-on-xsa-213-xsa-214-and-xsa-215/) три уязвимости (XSA-213 (https://xenbits.xen.org/xsa/advisory-213.html), XSA-214 (https://xenbits.xen.org/xsa/advisory-213.html) и XSA-215 (https://xenbits.xen.org/xsa/advisory-213.html)), каждая из которых позволяет выйди за пределы текущего гостевого окружения. Уязвимости также могут использоваться (https://www.qubes-os.org/news/2017/05/02/qsb-30/) для обхода механизмов изоляции в ОС Qubes. Проблемы выявлены исследователями безопасности из группы Zero (https://googleprojectzero.blogspot.ru/), созданной компанией Google для предотвращения атак, совершаемых с использованием ранее неизвестных уязвимостей.<br><br><br>Исправления пока доступны в виде патчей (http://xenbits.xen.org/xsa/). CVE-идентификатор пока не присвоен. Некоторые провайдеры публичных облачных систем были уведомлены о проблеме две недели назад и уже устранили уязвимость. Всем пользователям Xen и провайдерам, не включённым в список (https://www. https://www.opennet.ru/openforum/vsluhforumID3/111159.html#31 Mon, 15 May 2017 00:49:53 GMT В общем-то да, у них явно есть live migration. Дайунтайм будет минимальным.<br> https://www.opennet.ru/openforum/vsluhforumID3/111159.html#30 Wed, 10 May 2017 12:11:15 GMT то же, что и когда "такие" не появляются - да, обновляют, штатная процедура. Содержимое при перезагрузке конкретной ноды - мигрирует, поэтому юзер ничего, обычно, не замечает - у него-то ничего не обновляется.<br>Чего удивительного-то?<br><br> https://www.opennet.ru/openforum/vsluhforumID3/111159.html#29 Sun, 07 May 2017 05:18:02 GMT &gt; потому что в qubes нет паролья на sudo по-умолчанию <br><br>вы qubes c чем-то путайте.<br> https://www.opennet.ru/openforum/vsluhforumID3/111159.html#28 Sun, 07 May 2017 05:16:46 GMT &gt; Все правильно она делает. После получения доступа на систему под обычным пользователем, <br>&gt; вопрос получения рута вопрос времени.<br><br>И как это вы получите рута в полупустом контейнере на обновлённой системе, в котором нет привилегированных процессов? Чтобы получить рута в системе из контейнера как минимум нужен root в контейнере, а в контейнере с браузром только работающий под обычным пользователем браузер.<br><br> https://www.opennet.ru/openforum/vsluhforumID3/111159.html#27 Sun, 07 May 2017 05:03:43 GMT потому что в qubes нет паролья на sudo по-умолчанию<br> https://www.opennet.ru/openforum/vsluhforumID3/111159.html#26 Fri, 05 May 2017 19:58:03 GMT &gt; Про системные стеки понятно, но и вероятность атаки через них минимальна, но вот почему она упоминает Web Browser, который явно под обычным пользователем запускается.<br><br>Потому, что -- сюрприз -- Рутковски не доверяет разграничениям доступа для процессов, которые предоставляет ОС. Это её парадигмальная установка. Если бы она доверяла, она бы не стала пилить Qubes, но организвала бы всё на этом разграничении: ведь нет никаких проблем с тем, чтобы создать по отдельному пользователю для каждого процесса.<br> https://www.opennet.ru/openforum/vsluhforumID3/111159.html#25 Fri, 05 May 2017 08:05:58 GMT &#177;Вот это https://support.citrix.com/article/CTX132791<br> https://www.opennet.ru/openforum/vsluhforumID3/111159.html#24 Fri, 05 May 2017 07:00:33 GMT Интересно, что делает Amazon, когда появляются такие новости. Обновляют, перезагружают все свои датацентры?<br> https://www.opennet.ru/openforum/vsluhforumID3/111159.html#23 Thu, 04 May 2017 13:04:42 GMT Вы явный оптимист:) Были, есть и будут!!! Мало того если мы их вычислим при взаимодействии с какой либо крупной конторой, скажем при адаптации их оборудования под устанавливаемую нами инфраструктуру мы тут-же попадаем под неразглашение, и таких случаев немало. У них тоже сроки, костыли, и попытки за счет прошивки покрыть глюки в железе, чтобы производственную линию не переделывать(Читаем Брукса, ничего, ничего не изменилось за почти пол-века), а как патчатся сами прошивки, если за уязвимость не могут подать в суд, тоже отдельная история с мифологией. Я думаю многие мои коллеги могли бы выдать кучу подробностей, так что не идеализируйте :)<br>