仮想化ハイパーバイザ「Xen 4.7」リリース。再起動なしでパッチを当てられるライブパッチング導入

Xen Projectは6月23日付けで仮想化ハイパーバイザの「Xen Project Hypervisor 4.7」の正式版リリースを発表しました。

もっとも注目すべき新機能は、再起動せずにセキュリティパッチなどを適用できるライブパッチングを実現したことです。

ライブパッチングは次の3つの要素で構成されています。

• ハイパーバイザでライブパッチを実行するためのシステムコール「LIVEPATCH_SYSCTL」
• ライブパッチ本体（ペイロード）をアップロードし、適用し、元に戻すツール「xen-livepatch」
• ペイロード生成ツール

Xen 4.7ではセキュリティパッチの90％程度はライブパッチ可能になるだろうと、次のように説明しています。

Xen Project 4.7 implements version 1 of the Xen Project’s Live Patching specification, which is designed to encode the vast majority of security patches (approximately 90%) as Live Patching payloads.

Xen Project 4.7ではライブパッチング仕様のバージョン1を実装した。これはセキュリティパッチの大部分（90％程度）をライブパッチングペイロードとしてエンコードできるように設計された。

また車載機器やIoTなどの用途でより高いセキュリティを実現する目的で、コンパイル時にXen Hypervisorのコア機能を削除し、より軽量で攻撃余地を減らしたバイナリを作成する機能も追加。

そのほか、PVゲスト（準仮想化ゲスト）における512GBメモリの制限を撤廃し、テラバイト級のPVドメインの作成が可能になったため、より幅広いワークロードへの対応が可能になるなど多くの新機能が含まれています。