《企业网D1Net》11月29日讯

EMC VMware最近更新其vSphere API,旨在修复ESX和ESXi在服务方面的漏洞。该公司还更新了ESX服务控制台。

据VMware所说，如果不应用API补丁,公司就给未经身份验证的用户提供了机会，这些用户发送恶意API请求并且禁用主机守护进程。这种入侵可以妨碍主机的管理活动,但是在主机上运行的VMs将不会受到影响。

虚拟化安全公司HyTrust的总裁和创始人Eric Chiu说，漏洞的确可以被利用, 因此当今虚拟化以及云环境的安全问题显得尤为重要。毕竟,这是数据中心新的“操作系统”，并提供入口可访问虚拟机，虚拟网络，关键任务的企业应用程序以及虚拟化的存储资源。考虑到这些，虚拟化确实是入侵和攻击的首要目标，特别是管理面是最容易被入侵的，也是攻击虚拟环境关键一步。

除了API修复，VMware 还更新了ESX服务控制台,解决多个安全问题，包括控制台的python包，nspr和nss包。其中,它解决了由欺诈DigiNotar根证书造成的证书信任问题。这一问题与一起网络入侵有关。2011年7月发生了臭名昭著的DigiNotar的安全入侵，导致一个恶意黑客使用公司的证书权威基础设施给一些引人注目的领域发行了数以百计的流氓数字证书。

VMware公司平台安全的主管伊恩•穆赫兰德称，在今年11月初，该公司警告，黑客已经获取了公司的ESX管理程序源代码。源代码来自2004年并且与今年4月发布的其他代码相关。

几年来，关于虚拟化软件安全漏洞的报告不断增加。随着更多的公司采用虚拟化这项技术，这给恶意攻击黑客提供了一个明显的目标，VMware公司并不是唯一的目标。例如，去年6月，美国计算机紧急响应小组发布了一个安全警告，一些64位操作系统和在英特尔cpu上运行的虚拟化软件容易受到本地特权扩大攻击。大卫马歇尔说，漏洞是特别值得注意,因为它不仅仅影响到一个单一的供应商,而是许多不同的64位虚拟机监控程序和操作系统。

同样,来自北卡罗莱纳大学、威斯康辛大学和RSA实验室的计算机科学家们最近发布了一篇论文(PDF格式)，概括说明了他们设计的一个虚拟机，它能够提取存储在单独虚拟机上的个人密码，这些单独虚拟机存在于在相同的硬件上。

据SAN研究所称，随着更多的公司将他们的虚拟基础构架转换到私有云，内部的共享服务运行在虚拟基础构架之上安全风险正在继续升级。该组织指出，安全架构、政策以及程序需要适应在一个云基础构架环境中工作。