Xen wünscht weniger Security-Advisories

21.02.2017

Das Xen-Projekt möchte, dass künftig nur noch für schwerwiegende Sicherheitsprobleme Security-Advisories verfasst werden.

Das Xen-Projekt will den Organisationsaufwand für Security-Advisories reduzieren und entsprechende Mitteilungen künftig auf schwerwiegende Probleme beschränken. Jedes Advisory verursache viel Aufwand beim Xen-Projekt, bei Benutzern und Anwendern, schreibt George Dunlap im Xen-Blog . Darin zählt er er verschiedene Bug-Typen auf, die künftig als schwerwiegende Sicherheitslücke betrachtet werden sollen.

Insbesondere soll nicht jedes Information Leak aus dem Hostsystem (Dom0) zu einem Gast als Sicherheitslücke gelten, außer es handelt sich um sensible Daten. Auch soll es nur dann ein Security Advisory geben, wenn die Möglichkeit für einen Exploit gibt.

Über die Meinung zu der geplanten Strategie wird bis zum 28. Februar die Community befragt. Die Diskussion findet auf der Xen-Devel-Mailingliste unter dem Topic "RFC v2: Scope of Vulnerabilities for which XSAs are issued" statt.

Ähnliche Artikel

comments powered by Disqus
Mehr zum Thema

Security-Update für Docker

Ein Update auf Version 1.3.2 schließt eine Sicherheitslücke im Container-Virtualisierungsframework Docker.

Einmal pro Woche aktuelle News, kostenlose Artikel und nützliche ADMIN-Tipps.
Ich habe die Datenschutzerklärung gelesen und bin einverstanden.

Konfigurationsmanagement

Ich konfiguriere meine Server

  • von Hand
  • mit eigenen Skripts
  • mit Puppet
  • mit Ansible
  • mit Saltstack
  • mit Chef
  • mit CFengine
  • mit dem Nix-System
  • mit Containern
  • mit anderer Konfigurationsmanagement-Software

Ausgabe /2023