近日,Xen發(fā)出高危漏洞警告,稱由于Xen存在部分漏洞,建議所有相關(guān)的服務(wù)器進行重啟來修復(fù)這些漏洞,而細節(jié)將在近期公布。因此,采用Xen組件的云計算廠商忙著在此之前修復(fù)該漏洞,多數(shù)采用了服務(wù)器重啟方式解決,其中亞馬遜將有部分服務(wù)器需要重啟,而國內(nèi)云計算廠商阿里云則采用了全部熱升級的方式完成。
Xen在云計算行業(yè)為人熟知,由劍橋大學(xué)開發(fā)。使用者包括亞馬遜EC2、阿里云ECS、IBM SoftLayer、Linode及Rackspace Cloud等主流廠商。
根據(jù)Xen所公布的安全通告(Xen Security Advisory),準備在近期公布5個安全漏洞,其中3月10日公布的漏洞較為高危。因此得到通知的云計算廠商集中在10日之前通知客戶處理方案。
目前來看,多數(shù)云計算廠商采用了服務(wù)器重啟的解決方式。但這樣將中斷云計算服務(wù),使得客戶業(yè)務(wù)無法開展。因此,各家廠商早早提醒用戶關(guān)注重啟時間表,則也意外成為云計算技術(shù)的競技臺。
據(jù)了解,早先亞馬遜公告通知客戶,表示有大約10%的服務(wù)器受影響需要重啟,隨后該公司技術(shù)團隊找到熱升級的方式,但仍有0.1%的服務(wù)器需要重啟??紤]到亞馬遜云計算規(guī)模,這一漏洞顯然影響面頗大。
而Linode則干脆采用了重啟大法,同時表示這是因為漏洞高危,“在重啟期間一般來說2小時的停機是正常的,但通常實際關(guān)機時間會更少。”
另一家云計算廠商Rackspace也為服務(wù)器集群安排了重啟時間表。
剛剛進入美國的阿里云則于3月9日發(fā)布公告,表示已經(jīng)找到了避免服務(wù)器重啟的熱升級方案,理論上不再需要重啟服務(wù)器,不會影響到客戶在阿里云上服務(wù)的正常開展。
此外,阿里云也給出了風(fēng)險賠償預(yù)案,如果用戶受影響則賠償百倍服務(wù)時長。“我們做了很多種預(yù)案,但任何一種修復(fù)與升級都存在一定風(fēng)險,如果在此期間服務(wù)出現(xiàn)異常我們的技術(shù)支持人員會及時與您聯(lián)系。與此同時,我們?nèi)耘f承諾如果出現(xiàn)故障,您可以得到百倍時長的賠償。”
-------------------------------------------------------
公告原文如下:
Xen安全維護公告
近期,Xen安全團隊對全球所有使用Xen的云計算廠商發(fā)布安全通知,Xen Hypervisor 存在高危漏洞,建議盡快修復(fù)這些漏洞。而漏洞詳情將在近期對外公開。
得到消息之后,阿里云技術(shù)團隊就此進行了緊急技術(shù)攻堅?,F(xiàn)在我們找到了一種通過在線升級來修復(fù)這個漏洞的方案,理論上不再需要像其他云計算廠商一樣重啟服務(wù)器,不會影響到您在阿里云上服務(wù)的正常開展。
在經(jīng)過充分的環(huán)境驗證之后,這個方案將在3月9日開始正式實施。
我們做了很多種預(yù)案,但任何一種修復(fù)與升級都存在一定風(fēng)險,如果在此期間服務(wù)出現(xiàn)異常我們的技術(shù)支持人員會及時與您聯(lián)系。與此同時,我們?nèi)耘f承諾如果出現(xiàn)故障,您可以得到百倍時長的賠償。
阿里云計算
2015年3月9日