《企業(yè)網(wǎng)D1Net》11月29日訊

EMC VMware最近更新其vSphere API,旨在修復(fù)ESX和ESXi在服務(wù)方面的漏洞。該公司還更新了ESX服務(wù)控制臺(tái)。

據(jù)VMware所說(shuō)，如果不應(yīng)用API補(bǔ)丁,公司就給未經(jīng)身份驗(yàn)證的用戶提供了機(jī)會(huì)，這些用戶發(fā)送惡意API請(qǐng)求并且禁用主機(jī)守護(hù)進(jìn)程。這種入侵可以妨礙主機(jī)的管理活動(dòng),但是在主機(jī)上運(yùn)行的VMs將不會(huì)受到影響。

虛擬化安全公司HyTrust的總裁和創(chuàng)始人Eric Chiu說(shuō)，漏洞的確可以被利用, 因此當(dāng)今虛擬化以及云環(huán)境的安全問(wèn)題顯得尤為重要。畢竟,這是數(shù)據(jù)中心新的“操作系統(tǒng)”，并提供入口可訪問(wèn)虛擬機(jī)，虛擬網(wǎng)絡(luò)，關(guān)鍵任務(wù)的企業(yè)應(yīng)用程序以及虛擬化的存儲(chǔ)資源?？紤]到這些，虛擬化確實(shí)是入侵和攻擊的首要目標(biāo)，特別是管理面是最容易被入侵的，也是攻擊虛擬環(huán)境關(guān)鍵一步。

除了API修復(fù)，VMware 還更新了ESX服務(wù)控制臺(tái),解決多個(gè)安全問(wèn)題，包括控制臺(tái)的python包，nspr和nss包。其中,它解決了由欺詐DigiNotar根證書(shū)造成的證書(shū)信任問(wèn)題。這一問(wèn)題與一起網(wǎng)絡(luò)入侵有關(guān)。2011年7月發(fā)生了臭名昭著的DigiNotar的安全入侵，導(dǎo)致一個(gè)惡意黑客使用公司的證書(shū)權(quán)威基礎(chǔ)設(shè)施給一些引人注目的領(lǐng)域發(fā)行了數(shù)以百計(jì)的流氓數(shù)字證書(shū)。

VMware公司平臺(tái)安全的主管伊恩•穆赫蘭德稱(chēng)，在今年11月初，該公司警告，黑客已經(jīng)獲取了公司的ESX管理程序源代碼。源代碼來(lái)自2004年并且與今年4月發(fā)布的其他代碼相關(guān)。

幾年來(lái)，關(guān)于虛擬化軟件安全漏洞的報(bào)告不斷增加。隨著更多的公司采用虛擬化這項(xiàng)技術(shù)，這給惡意攻擊黑客提供了一個(gè)明顯的目標(biāo)，VMware公司并不是唯一的目標(biāo)。例如，去年6月，美國(guó)計(jì)算機(jī)緊急響應(yīng)小組發(fā)布了一個(gè)安全警告，一些64位操作系統(tǒng)和在英特爾cpu上運(yùn)行的虛擬化軟件容易受到本地特權(quán)擴(kuò)大攻擊。大衛(wèi)馬歇爾說(shuō)，漏洞是特別值得注意,因?yàn)樗粌H僅影響到一個(gè)單一的供應(yīng)商,而是許多不同的64位虛擬機(jī)監(jiān)控程序和操作系統(tǒng)。

同樣,來(lái)自北卡羅萊納大學(xué)、威斯康辛大學(xué)和RSA實(shí)驗(yàn)室的計(jì)算機(jī)科學(xué)家們最近發(fā)布了一篇論文(PDF格式)，概括說(shuō)明了他們?cè)O(shè)計(jì)的一個(gè)虛擬機(jī)，它能夠提取存儲(chǔ)在單獨(dú)虛擬機(jī)上的個(gè)人密碼，這些單獨(dú)虛擬機(jī)存在于在相同的硬件上。

據(jù)SAN研究所稱(chēng)，隨著更多的公司將他們的虛擬基礎(chǔ)構(gòu)架轉(zhuǎn)換到私有云，內(nèi)部的共享服務(wù)運(yùn)行在虛擬基礎(chǔ)構(gòu)架之上安全風(fēng)險(xiǎn)正在繼續(xù)升級(jí)。該組織指出，安全架構(gòu)、政策以及程序需要適應(yīng)在一個(gè)云基礎(chǔ)構(gòu)架環(huán)境中工作。