Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

05/12/2014

Múltiples vulnerabilitats en XenServer de Citrix

S’han detectat una sèrie de vulnerabilitats en XenServer de Citrix. La seua explotació pot permetre l’escalada de privilegis en un HVM.

S’han reservat les vulnerabilitats següents:

• CVE-2014-8595 (alta): falta de comprovació de privilegis en l’emulació d'x86.
• CVE-2014-8866 (mitjana): excessives comprovacions en la traducció dels arguments de compatibilitat del mode "hypercall".
• CVE-2014-8867 (mitjana): límits insuficients en "REP MOVS" en el MMIO emulat dins del hypervisor.
• CVE-2014-1666 (baixa): PHYSDEVOP_{prepare,release}_msix exposat a usuaris sense privilegis.
  
  

Sistemes Afectats:

• XenServer 6.1.0
• XenServer 6.0.2
• XenServer 6.0
• XenServer 6.2.0

Referències:

CVE-2014-8595,CVE-2014-8866,CVE-2014-8867,CVE-2014-1666

Solució:

Citrix recomana als seus clients afectats que instal·len els parches elaborats per a això i que es poden descarregar de:

• Citrix XenServer 6.2 Service Pack 1: CTX141717
• Citrix XenServer 6.1: CTX141718
• Citrix XenServer 6.0.2: CTX141720
• Citrix XenServer 6.0.2 amb la configuració Common Criteria: CTX141719
• Citrix XenServer 6.0.0: CTX141721

Notes:

• Citrix XenServer Multiple Security Updates

CSIRT-CV