El proveedor de soluciones virtuales Citrix, durante el presente mes de marzo ha publicado 2 avisos de seguridad para abordar distintos fallos que afectan a productos como Citrix Federated Authentication Service (FAS), Citrix Hypervisor y Citrix XenServer, estas publicaciones fueron considerados con severidad media.
CVE-2021-26401
Mitigación insuficiente de CVE-2017-5715 en algunas CPU AMD
AMD está proporcionando una actualización para una mitigación recomendada para CVE-2017-5715 anteriormente conocida como Spectre Variant 2. La ventana de ejecución especulativa de la mitigación AMD LFENCE/JMP (MITIGATION V2-2) puede ser lo suficientemente grande como para explotarla en las CPU de AMD.
CVE-2022-26355
Manejo incorrecto de los valores de encabezado de host HTTP
Se identificó un problema en Citrix Federated Authentication Service (FAS) que hace que las implementaciones que se configuraron para almacenar la clave privada de un certificado de autoridad de registro en un Módulo de plataforma segura (TPM) almacenen incorrectamente esa clave en el Proveedor de almacenamiento de claves de software de Microsoft (MSKSP).
Este problema solo ocurre si se usa PowerShell al configurar FAS para almacenar la clave privada del certificado de la autoridad de registro en el TPM. No ocurre si no se seleccionó el TPM para su uso o si se usó la consola de administración de FAS para la configuración.
La clave privada del certificado de la autoridad de registro se almacena en el "Proveedor de almacenamiento de claves de software de Microsoft", incluso si se seleccionó el Módulo de plataforma segura.
Se recomienda lo siguiente:
El listado de las CVE se adjunta a continuación:
Producto | Versión |
---|---|
Citrix Federated Authentication Service (FAS) |
anteriores a 10.7 y 7.24.4000 |
Citrix Hypervisor |
anterior a 8.2 CU1 LTSR: CTX341439 - CTX341440 |
Citrix XenServer |
7.1 anterior a CU2 LTSR: CTX341438 |