Rackspace的200,000多家客户中约有四分之一受到了影响
像云竞争对手Amazon Web Services一样,Rackspace在修补了某些服务器以修复某些版本的XenServer虚拟机管理程序中的安全漏洞后,也不得不重新启动其某些服务器。总裁兼首席执行官泰勒·罗德斯(Taylor Rhodes)表示,云提供商必须在周末在其全球数据中心中修补数量众多的服务器,然后重新启动它们,这对Rackspace超过200,000个客户中的约四分之一造成了中断。紧迫的期限使问题变得更加复杂-该漏洞于上周初首次发现,并且直到9月26日才与Xen工程师共同开发出补丁。
同时,该漏洞的技术细节计划于10月1日发布,从而使Rackspace,Amazon Web Services(ASW)和任何其他面临相同问题的云提供商只需几天就可以修补系统并重新启动它们。他们还必须提醒客户注意这种情况,但不能提供太多信息,黑客可以在补丁发布之前使用这些信息来破坏服务器上的数据。
罗德斯在9月30日发给客户并发布在公司网站十月的消息中说:“我们面临艰难的决定,即是否要在周末开始重新启动,向客户发出短通知,还是将其推迟到星期一。” 1.“后一种做法将使我们无法充分错开重新启动的过程。这将损害我们在漏洞公开之前完全修补所有受影响服务器的能力,从而使我们的客户承受更大的风险。我们认为,较小的弊端是立即进行。
他写道,在修补某个特定漏洞之前,它不提供任何信息是标准程序,“实际上,我们要为全球网络犯罪分子敲响钟声。”
他抨击AWS官员,指出他和Rackspace工程师在通知客户和合作伙伴迫切需要重启某些服务器的同时,也没有提到问题出在Xen虚拟机管理程序,因为担心冒着警告网络犯罪社区的风险。的缺陷。
Rhodes写道:“另一家主要的云提供商确实将其重启归因于Xen的安全性问题,这使受影响的该虚拟机管理程序版本的所有用户面临的风险更高。” “但是,我们很高兴地报告说,到目前为止,我们还没有发现Rackspace客户之间的数据泄露。现在,该漏洞已得到完全纠正,Xen社区已经解除了对它的禁运。”
AWS于 9月24日开始向其客户发送信函,告知他们存在问题,但向他们保证该问题与上周因对运行Unix和Linux的系统造成威胁的Bash错误无关。官员转而让他们知道问题出在Xen虚拟机管理程序,并且正在修补。
AWS官员表示,修补和重新启动对公司系统的影响不到10%。
Rackspace工程师必须修补并重新启动云公司的Standard,Performance 1和Performance 2云服务器及其Hadoop Cloud Big Data服务。
根据Rhodes的说法,Xen漏洞将使黑客能够“遵循一系列的内存命令来读取属于其他客户的数据片段,或者使主机服务器崩溃”。他承认,周末一切都不太顺利-有些重新启动花费的时间比原本应该的要长,而有些通知本来应该更清楚。但是,最终结果是没有任何客户数据受到威胁,Rhodes说。