“毒液”威胁全球云计算用户 阿里云已热修复解决

上周三，一款潜伏了11年之久的安全漏洞“毒液”被美国知名安全公Crowd Strike发现并曝光。虽然该漏洞从未被利用，目前仅存在理论风险。阿里云在5月19日宣布已快速响应，采用全部热升级的方式，在用户没有感知的情况下，解决了此次的高危漏洞问题。

这个被称为“毒液”的QEMU漏洞，主要帮助黑客利用长期被忽视的虚拟软盘控制器代码“行凶“。通过它，黑客完全有可能借着被黑的“虚拟机”（VM）这个通道，控制操作系统的主机，以及在同一台主机上运行的其他任何客户虚拟机。考虑到包括亚马逊，甲骨文，思杰，和Rackspace在内，大型云服务供应商都很大程度上依赖于QEMU为基础的虚拟化技术，所以这个漏洞潜在可能造成的安全隐患相当大。

漏洞一旦曝光，为了不影响业务安全，需要云计算公司对漏洞快速修复。而不影响业务运行的漏洞热修复技术门槛却很高，同时需考虑多种软硬件组合，给云计算厂商带来了极大挑战。阿里云在虚拟化方面有着比较深厚的技术积累，“毒液“公布之后，阿里云虚拟化团队快速对该漏洞进行审慎的评估，并制定出应对方案。经过紧急测试验证方案安全有效之后，第一时间在全集群进行了QEMU漏洞热修复。

阿里云资深专家张献涛博士表示，“经过Xen漏洞热修复等实践，阿里云成为全球少数同时具备热修复Hypervisor、 Dom0 内核，以及Qemu漏洞能力的云计算厂商。”此外，他还表示，“ 对于正在研发的新一代虚拟化架构，不但支持热修复，还可以支持所有组件热升级，这样安全漏洞可以免疫，还可以进行新的特性的快速迭代。”

今年3月，Xen被爆出多个高危漏洞，多数云计算厂商选择重启进行修复。而阿里云采用热修复技术避免了客户重启，该技术方案随后在Qcon上作分享，等到与会人员的非常高的评价。