No engem Joer vun der Entwécklung ass de gratis Hypervisor Xen 4.17 verëffentlecht ginn. Firmen wéi Amazon, Arm, Bitdefender, Citrix, EPAM Systems an Xilinx (AMD) hunn un der Entwécklung vun der neier Verëffentlechung deelgeholl. D'Generatioun vun Updates fir den Xen 4.17 Branche wäert bis den 12. Juni 2024 daueren, an d'Publikatioun vu Schwachstelle Fixen bis den 12. Dezember 2025.
Schlëssel Ännerungen am Xen 4.17:
- Deelweis Konformitéit gëtt mat den Ufuerderunge fir d'Entwécklung vu sécheren an zouverléissege Programmer an der C Sprooch geliwwert, formuléiert an de MISRA-C Spezifikatiounen, déi an der Schafung vu missionskritesch Systemer benotzt ginn. Xen implementéiert offiziell 4 Direktiven an 24 MISRA-C Reegelen (aus 143 Reegelen a 16 Direktiven), an integréiert och den MISRA-C statesche Analyser an d'Versammlungsprozesser, déi d'Konformitéit mat de Spezifizéierungsfuerderunge verifizéieren.
- Bitt d'Fäegkeet fir eng statesch Xen Konfiguratioun fir ARM Systemer ze definéieren, déi all Ressourcen déi néideg sinn fir Gäscht am Viraus ze booten. All Ressourcen, wéi gedeelt Erënnerung, Event Notifikatiounskanäl, an Hypervisor Heap Space, gi virgeworf beim Hypervisor Startup anstatt dynamesch allokéiert, eliminéiert méiglech Feeler wéinst Ressourcemangel wärend der Operatioun.
- Fir embedded Systemer baséiert op ARM Architektur, experimentell (Tech Preview) Ënnerstëtzung fir I / O Virtualiséierung mat VirtIO Protokoller ëmgesat gouf. De Virtio-mmio Transport gëtt benotzt fir Daten mat engem virtuellen I/O Apparat auszetauschen, wat Kompatibilitéit mat enger breet Palette vu VirtIO Geräter garantéiert. Ënnerstëtzung fir Linux Frontend, Toolkit (libxl / xl), dom0less Modus a Backends, déi am Benotzerraum lafen, gouf implementéiert (Virtio-Disk, Virtio-Net, i2c a gpio Backends goufen getest).
- Verbesserte Ënnerstëtzung fir den dom0less Modus, wat Iech erlaabt Iech d'Dom0 Ëmfeld z'installéieren wann Dir virtuell Maschinnen op eng fréi Stuf vum Serverboot starten. Et ass méiglech CPU Pools (CPUPOOL) an der Stiwwelstadium (iwwer Apparatbaum) ze definéieren, wat Iech erlaabt Pools an Konfiguratiounen ouni dom0 ze benotzen, zum Beispill, fir verschidden Aarte vu CPU Cores op ARM Systemer op Basis vun der grousser.LITTLE ze binden. Architektur, kombinéiert mächteg, awer energieverbrauchend Kären, a manner produktiv awer méi energieeffizient Kären. Zousätzlech, stellt dom0less d'Fähegkeet paravirtualization Frontend / Backend zu Gaascht Systemer ze bindelen, wat erlaabt Iech Gaascht Systemer mat der néideg paravirtualized Apparater ze Stiwwel.
- Op ARM Systemer ginn d'Erënnerungsvirtualiséierungsstrukturen (P2M, Physical to Machine) elo aus dem Memory Pool zougewisen, deen erstallt gëtt wann d'Domain erstallt gëtt, wat eng besser Isolatioun tëscht Gäscht erlaabt wann Erënnerungsfehler optrieden.
- Fir ARM Systemer ass de Schutz géint d'Specter-BHB Schwachstelle bei Prozessormikroarchitektonesche Strukturen bäigefüügt.
- Op ARM Systemer ass et méiglech den Zephyr Betribssystem am Dom0 Root Ëmfeld ze lafen.
- D'Méiglechkeet vun enger separater (out-of-tree) Hypervisorversammlung gëtt zur Verfügung gestallt.
- Pa x86 Systemer sinn grouss IOMMU Säiten (Superpage) fir all Zorte vu Gaascht Systemer ënnerstëtzt, déi Erhéijung Débit erlaabt wann PCI Apparater weiderginn. Zousätzlech Ënnerstëtzung fir Hosten ausgestatt mat bis zu 12 TB RAM. Op der Stiwwelstadium ass d'Fäegkeet fir cpuid-Parameteren fir dom0 ze setzen implementéiert. Fir d'Schutzmoossnamen ze kontrolléieren déi um Hypervisorniveau géint Attacken op der CPU an Gaaschtsystemer ëmgesat ginn, ginn d'Parameteren VIRT_SSBD an MSR_SPEC_CTRL proposéiert.
- De VirtIO-Grant Transport gëtt getrennt entwéckelt, ënnerscheet sech vum VirtIO-MMIO duerch e méi héije Sécherheetsniveau an d'Fäegkeet fir Handler an engem separaten isoléierten Domain fir Chauffeuren ze lafen. VirtIO-Grant, amplaz vun der direkter Erënnerungsmapping, benotzt d'Iwwersetzung vu kierperlechen Adressen vum Gaaschtsystem an Subventiounen Linken, wat d'Benotzung vu viraus ausgemaachte Gebidder vum gemeinsame Gedächtnis fir Datenaustausch tëscht dem Gaaschtsystem an dem VirtIO Backend erlaabt, ouni ze accordéieren. d'Backend Rechter fir Erënnerungsmapping ze maachen. VirtIO-Grant Support ass schonn am Linux Kernel implementéiert, awer ass nach net an de QEMU Backends, a virtio-vhost an am Toolkit (libxl / xl) abegraff.
- D'Hyperlaunch Initiativ entwéckelen sech weider, zielt fir flexibel Tools ze bidden fir de Start vu virtuelle Maschinnen beim Systemboot ze konfiguréieren. Momentan ass déi éischt Set vu Patches scho virbereet ginn, déi Iech erlaabt PV-Domänen z'entdecken an hir Biller op den Hypervisor beim Luede ze transferéieren. Alles wat néideg ass fir sou paravirtualiséiert Domainen ze lafen ass och ëmgesat ginn, dorënner Xenstore Komponenten fir PV Treiber. Wann d'Patches akzeptéiert sinn, fänkt d'Aarbecht un d'Ënnerstëtzung fir PVH- an HVM-Geräter z'erméiglechen, wéi och d'Ëmsetzung vun engem separaten DomB-Domain (Builder-Domain), gëeegent fir e gemoossene Boot z'organiséieren, d'Gëltegkeet vun all geluedenen Komponenten ze bestätegt.
- D'Aarbecht geet weider fir en Hafen vu Xen fir d'RISC-V Architektur ze kreéieren.
Source: opennet.ru