上周三�����,一款潛伏了11年之久的安全漏洞“毒液”被美國知名安全公Crowd Strike發(fā)現(xiàn)并曝光���。雖然該漏洞從未被利用�����,目前僅存在理論風險�。阿里云在5月19日宣布已快速響應(yīng)���,采用全部熱升級的方式,在用戶沒有感知的情況下��,解決了此次的高危漏洞問題���。
上周三�,一款潛伏了11年之久的安全漏洞“毒液”被美國知名安全公Crowd Strike發(fā)現(xiàn)并曝光。雖然該漏洞從未被利用����,目前僅存在理論風險。阿里云在5月19日宣布已快速響應(yīng)����,采用全部熱升級的方式,在用戶沒有感知的情況下�����,解決了此次的高危漏洞問題�。
這個被稱為“毒液”的QEMU漏洞,主要幫助黑客利用長期被忽視的虛擬軟盤控制器代碼“行兇“�����。通過它�,黑客完全有可能借著被黑的“虛擬機”(VM)這個通道,控制操作系統(tǒng)的主機�����,以及在同一臺主機上運行的其他任何客戶虛擬機��。考慮到包括亞馬遜�,甲骨文,思杰����,和Rackspace在內(nèi),大型云服務(wù)供應(yīng)商都很大程度上依賴于QEMU為基礎(chǔ)的虛擬化技術(shù)��,所以這個漏洞潛在可能造成的安全隱患相當大��。
漏洞一旦曝光���,為了不影響業(yè)務(wù)安全�,需要云計算公司對漏洞快速修復�����。而不影響業(yè)務(wù)運行的漏洞熱修復技術(shù)門檻卻很高���,同時需考慮多種軟硬件組合�,給云計算廠商帶來了極大挑戰(zhàn)��。阿里云在虛擬化方面有著比較深厚的技術(shù)積累�����,“毒液“公布之后���,阿里云虛擬化團隊快速對該漏洞進行審慎的評估�,并制定出應(yīng)對方案�����。經(jīng)過緊急測試驗證方案安全有效之后����,第一時間在全集群進行了QEMU漏洞熱修復。
阿里云資深專家張獻濤博士表示���,“經(jīng)過Xen漏洞熱修復等實踐��,阿里云成為全球少數(shù)同時具備熱修復Hypervisor��、 Dom0 內(nèi)核����,以及Qemu漏洞能力的云計算廠商�。”此外�����,他還表示���,“ 對于正在研發(fā)的新一代虛擬化架構(gòu),不但支持熱修復���,還可以支持所有組件熱升級�����,這樣安全漏洞可以免疫�����,還可以進行新的特性的快速迭代�����。”
今年3月���,Xen被爆出多個高危漏洞,多數(shù)云計算廠商選擇重啟進行修復。而阿里云采用熱修復技術(shù)避免了客戶重啟�,該技術(shù)方案隨后在Qcon上作分享�����,等到與會人員的非常高的評價���。
云計算服務(wù)是一個由上萬個組件構(gòu)成的復雜系統(tǒng)��,對技術(shù)要求極高����。同時�,從理論和實踐中均不存在完美的,零漏洞����,零bug的系統(tǒng)。關(guān)鍵在于及早發(fā)現(xiàn)并修復錯誤�。對此,張獻濤認為�����, “態(tài)度漏洞是比安全漏洞更加可怕的問題“ ,對待此類漏洞體現(xiàn)了一家云計算廠商的技術(shù)能力和對客戶數(shù)據(jù)安全的重視程度���。
“毒液“的出現(xiàn)也讓很多人聯(lián)想到去年引發(fā)數(shù)據(jù)安全討論的漏洞”心臟滴血“�����。張獻濤特別解釋�����,毒液和Heartbleed沒有可比性���。因為Heartbleed允許黑客探測數(shù)以百萬計的系統(tǒng)。而毒液入侵的門檻很高����,攻擊者要想通過訪問軟盤控制器IO端口獲得Qemu甚至宿主機權(quán)限,需要突破的防線非常多����,比如需要獲得Qemu的精確二進制代碼,以及需要突破修主機的訪問控制設(shè)置等�。這也是為什么該漏洞存在了11年,一直沒有被利用過����。
