Múltiples vulnerabilidades en Citrix XenServer
Fecha de publicación:
04/12/2017
Importancia:
4 -
Alta
Recursos afectados:
- XenServer 7.2
- XenServer 7.1 LTSR Cumulative Update 1
- XenServer 7.1 XenServer 7.0
- XenServer 6.5
- XenServer 6.2.0
- XenServer 6.0.2
Descripción:
Se han identificado varias vulnerabilidades de seguridad en Citrix XenServer que pueden permitir a un administrador malicioso de una máquina virtual invitada comprometer el servidor.
Solución:
Los usuarios sin máquinas virtuales invitadas no se ven afectados por estas vulnerabilidades.
Citrix ha publicado las siguientes actualizaciones que corrigen los citados problemas de seguridad y que pueden descargarse en los siguientes enlaces:
- Citrix XenServer 7.2: CTX229541 – https://support.citrix.com/article/CTX229541 y CTX230161 – https://support.citrix.com/article/CTX230161
- Citrix XenServer 7.1 LTSR CU1: CTX229540 – https://support.citrix.com/article/CTX229540 y CTX230160 – https://support.citrix.com/article/CTX230160
- Citrix XenServer 7.1 LTSR: CTX229545 – https://support.citrix.com/article/CTX229545 y CTX230159 – https://support.citrix.com/article/CTX230159
- Citrix XenServer 7.0: CTX229539 – https://support.citrix.com/article/CTX229539 y CTX229544 – https://support.citrix.com/article/CTX229544
- Citrix XenServer 6.5 SP1: CTX229543 – https://support.citrix.com/article/CTX229543
- Citrix XenServer 6.2 SP1: CTX229096 – https://support.citrix.com/article/CTX229096
- Citrix XenServer 6.0.2 Common Criteria: CTX229095 – https://support.citrix.com/article/CTX229095
Detalle:
Se han identificado las siguientes vulnerabilidades:
- CVE-2017-7980: ejecución de código mediante desbordamiento en emulación Cirrus Logic.
- CVE-2017-15592: manejo incorrecto del mapeado oculto auto-lineal para máquinas virtuales invitadas.
- CVE-2017-17044: bucle infinito debido a la falta de comprobación de errores PoD.
- CVE-2017-17045: falta de comprobación de errores p2m en el código PoD.
Referencias:
Etiquetas: