R: [ml] Whitepaper sulla virtualizzazione e sicurezza

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]

Archivio: Aprile 2007 ml@sikurezza.org
Soggetto: R: [ml] Whitepaper sulla virtualizzazione e sicurezza
Mittente: Rissone Ruggero
Data: Thu,  5 Apr 2007 10:00:21 +0200 (CEST)

 

> >-----Messaggio originale-----
> >Da: ml-bounces@xxxxxxxxxxxxx 
> >[mailto:ml-bounces@xxxxxxxxxxxxx] Per conto di Marco Simioni
> >Inviato: martedì 3 aprile 2007 23.03
> >A: ml@xxxxxxxxxxxxx
> >Oggetto: Re: [ml] Whitepaper sulla virtualizzazione e sicurezza
> 
> >mi garantisce che non esiste un modo per sfruttare 
> >vulnerabilità dello strato di virtualizzazione stesso, 

Garantirtelo credo nessuno, pero' si puo' discutere sulle modalita' di virtualizzazione per capire se cio' e' fattibile.


> >esempio un banale buffer overflow che mi permette, partendo 
> >dalla macchina guest, di iniettare del codice 
> >nell'applicativo che realizza lo strato di virtualizzazione, 
> >e fare un privilege escalation andando ad eseguire codice 
> >nella macchina host, così come già capitato se non sbaglio 
> >nel caso [1] ?
> >
> >Spero di non aver fatto un'osservazione banale, saluti
> >
> >Marco
> >
> >[1] VMware NAT Networking Buffer Overflow Vulnerability:
> >http://secunia.com/advisories/18162/

Se osservi l'advisory potrai notare come fossero vulnerabili solo quei softwarare di virtualizzazione che si appoggiano su un S.O. preesistente, mentre ne era immune VMWare ESX, che invece costituisce l'unico S.O. del server di virtualizzazione.
Ti rimando a questo link per avere un'idea dei meccanismi di resource management all'interno di ESX (http://www.vmware.com/pdf/usenix_resource_mgmt.pdf) 
Al momento l'unica debolezza che ho riscontrato(parlo di ESX 2.5) e' la gestione dell'overcommittment di memoria tra VMs differenti, che se mal gestite portano ad un progressivo rallentamento di tutte le VM che risiedono sullo stesso server, se sono VM molto diverse tra loro e non vengono quindi attivati meccanismi di Content-Based Page Sharing.
Sul documento indicato nel link ritengo vi siano parecchi spunti su cui discutere riguardo a possibili compromissioni delle VM.
Onestamente non ho trovato documenti cosi' dettagliati per le altre piattaforme di virtualizzazione citate in questo interessante (almeno per me) 3d.

Saluti
RR
--------------------------------------------------------------------

CONFIDENTIALITY NOTICE

This message and its attachments are addressed solely to the persons above and may contain confidential information. If you have received the message in error, be informed that any use of the content hereof is prohibited. Please return it immediately to the sender and delete the message. Should you have any questions, please contact us by replying to webmaster@xxxxxxxxxxxxxxxxx

        Thank you

                                        www.telecomitalia.it

--------------------------------------------------------------------

Messaggi successivi:
- Re: R: [ml] Whitepaper sulla virtualizzazione e sicurezza, Daniele Bellucci

In risposta a:
- Re: [ml] Whitepaper sulla virtualizzazione e sicurezza, Daniele Bellucci
- Re: [ml] Whitepaper sulla virtualizzazione e sicurezza, Claudio Telmon
- Re: [ml] Whitepaper sulla virtualizzazione e sicurezza, Marco Simioni

Data:
- precedente: [ml] OT: Big Brother Awards Italia 2007, Marco A. Calamari
- successivo: R: [ml] SYN Flooder cercasi, Rissone Ruggero
- indice

Argomento:
- precedente: Re: [ml] Whitepaper sulla virtualizzazione e sicurezza, Claudio Telmon
- successivo: [ml] Virtualizzazione e sicurezza (linux-vserver), Piermaria Maraziti
- indice

[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005