上周三，一款潛伏了11年之久的安全漏洞“毒液”被美國知名安全公Crowd Strike發(fā)現(xiàn)并曝光。雖然該漏洞從未被利用，目前僅存在理論風(fēng)險。阿里云在5月19日宣布已快速響應(yīng)，采用全部熱升級的方式，在用戶沒有感知的情況下，解決了此次的高危漏洞問題。

這個被稱為“毒液”的QEMU漏洞，主要幫助黑客利用長期被忽視的虛擬軟盤控制器代碼“行兇“。通過它，黑客完全有可能借著被黑的“虛擬機”（VM）這個通道，控制操作系統(tǒng)的主機，以及在同一臺主機上運行的其他任何客戶虛擬機。考慮到包括亞馬遜，甲骨文，思杰，和Rackspace在內(nèi)，大型云服務(wù)供應(yīng)商都很大程度上依賴于QEMU為基礎(chǔ)的虛擬化技術(shù)，所以這個漏洞潛在可能造成的安全隱患相當(dāng)大。

漏洞一旦曝光，為了不影響業(yè)務(wù)安全，需要云計算公司對漏洞快速修復(fù)。而不影響業(yè)務(wù)運行的漏洞熱修復(fù)技術(shù)門檻卻很高，同時需考慮多種軟硬件組合，給云計算廠商帶來了極大挑戰(zhàn)。阿里云在虛擬化方面有著比較深厚的技術(shù)積累，“毒液“公布之后，阿里云虛擬化團(tuán)隊快速對該漏洞進(jìn)行審慎的評估，并制定出應(yīng)對方案。經(jīng)過緊急測試驗證方案安全有效之后，第一時間在全集群進(jìn)行了QEMU漏洞熱修復(fù)。

阿里云資深專家張獻(xiàn)濤博士表示，“經(jīng)過Xen漏洞熱修復(fù)等實踐，阿里云成為全球少數(shù)同時具備熱修復(fù)Hypervisor、 Dom0 內(nèi)核，以及Qemu漏洞能力的云計算廠商。”此外，他還表示，“ 對于正在研發(fā)的新一代虛擬化架構(gòu)，不但支持熱修復(fù)，還可以支持所有組件熱升級，這樣安全漏洞可以免疫，還可以進(jìn)行新的特性的快速迭代。”

今年3月，Xen被爆出多個高危漏洞，多數(shù)云計算廠商選擇重啟進(jìn)行修復(fù)。而阿里云采用熱修復(fù)技術(shù)避免了客戶重啟，該技術(shù)方案隨后在Qcon上作分享，等到與會人員的非常高的評價。

云計算服務(wù)是一個由上萬個組件構(gòu)成的復(fù)雜系統(tǒng)，對技術(shù)要求極高。同時，從理論和實踐中均不存在完美的，零漏洞，零bug的系統(tǒng)。關(guān)鍵在于及早發(fā)現(xiàn)并修復(fù)錯誤。對此，張獻(xiàn)濤認(rèn)為， “態(tài)度漏洞是比安全漏洞更加可怕的問題“ ，對待此類漏洞體現(xiàn)了一家云計算廠商的技術(shù)能力和對客戶數(shù)據(jù)安全的重視程度。

“毒液“的出現(xiàn)也讓很多人聯(lián)想到去年引發(fā)數(shù)據(jù)安全討論的漏洞”心臟滴血“。張獻(xiàn)濤特別解釋，毒液和Heartbleed沒有可比性。因為Heartbleed允許黑客探測數(shù)以百萬計的系統(tǒng)。而毒液入侵的門檻很高，攻擊者要想通過訪問軟盤控制器IO端口獲得Qemu甚至宿主機權(quán)限，需要突破的防線非常多，比如需要獲得Qemu的精確二進(jìn)制代碼，以及需要突破修主機的訪問控制設(shè)置等。這也是為什么該漏洞存在了11年，一直沒有被利用過。