「Xen 4.11」リリース、Meltdownなどへの対策を実装

 Xen Projectは7月10日、「Xen Project Hypervisor 4.11」を発表した。PVH(準仮想化)関連の機能が強化されたほか、脆弱性への対策も施されている。

Xen 4.11は、2017年12月公開のバージョン4.10に続く最新版となる。セキュリティ側ではCPUの脆弱性であるMeltdown/Spectreへの対応を盛り込んだ。これはKPTIパッチのXen版と位置付けるXPTIを実装したものとなる。準仮想化(PV)ではMeltdownを使ってゲスト環境からハイパーバイザへの攻撃が可能であるため、XPTIが必要という。なお、HVM(完全仮想化)やXen 4.4で実装されたPVHモードを利用する場合はゲストからハイパーバイザーへの攻撃はできないとのこと。

 x86 CPU向けには、Retpolineのサポートに加えて、Spectre緩和策に関連したIntelとAMDのマイクロコードフレームワークを加えた。最も適切な緩和策を自動選択し、ゲストが使える適切な緩和策を仮想化するという。このほか、Arm32、Arm64でもセキュリティ問題への緩和策が加わっている。

 PVH関連では、PVH Dom0のサポートが実験的に加わった。コマンドラインのdom0=pvhより利用できる。利用には、PVH Dom0に対応するLinuxまたはFreeBSDが必要。

 PCIコンフィギュレーション空間のエミュレーションがQEMUからXen Hypervisorに変わった。レガシーのPVのみのゲストをPVHモードで動かす機能が加わった。修正は不要という。

 このほかにも、スケジューラーの最適化、エミュレーターの強化、Intel Skylake以降でのメモリ帯域アロケーションの有効化なども加わった。4.9で導入したDMOPs(Device Model Operation Hypercall)を強化し、VGAを制限のあるQEMUで使用できるようになった。

 Xen 4.11はプロジェクトのWebサイトより入手できる。

Xen Project
https://www.xenproject.org/