Citrix notifica 3 vulnerabilidades que afectan a su Hypervisor

Citrix ha publicado 1 nuevo aviso de seguridad que contempla 3 vulnerabilidades de severidad Media. Estas fallas afectan a Citrix Hypervisor.

CVE-2023-34319 

Se descubrió un problema en Citrix Hypervisor 8.2 CU1 LTSR que puede permitir que un código malicioso con privilegios en una máquina virtual invitada, provoque que el host se bloquee.

CVE-2022-40982

Esta vulnerabilidad afecta a ciertas CPU de Intel que pueden permitir que un código malicioso en una máquina virtual invitada infiere el contenido de los registros vectoriales que pertenecen a otros procesos que se ejecutan en el mismo núcleo de la CPU. Aunque esto no es un problema en el producto Citrix Hypervisor en sí, se han incluido cambios en el producto y un microcódigo actualizado para mitigar este problema de hardware de la CPU.

CVE-2023-20569

AMD ha revelado un problema de seguridad que afecta a las CPU de AMD que puede permitir que un código malicioso en una máquina virtual invitada infiere el contenido de la memoria que pertenece a otros procesos que se ejecutan en el mismo núcleo de la CPU. Aunque esto no es un problema en el producto Citrix Hypervisor en sí, se ha incluido cambios en el producto y un microcódigo actualizado para mitigar este problema de hardware de la CPU.

Importante

• CVE-2022-40982 sólo afecta a Citrix Hypervisor cuando se ejecuta en CPU Intel con microarquitecturas Skylake Server, Coffee Lake Server, Cooper Lake Server o Ice Lake Server; no afecta a Citrix Hypervisor cuando se ejecuta en otras CPU compatibles.

• CVE-2023-20569 sólo afecta a Citrix Hypervisor cuando se ejecuta en CPU AMD con microarquitecturas Zen 3 o Zen 4. No afecta a Citrix Hypervisor cuando se ejecuta en otras CPU compatibles, siempre que se hayan aplicado todas las actualizaciones anteriores.

Se recomienda lo siguiente:

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Citrix ha lanzado revisiones para abordar estos problemas. Recomiendan que los clientes afectados instalen estas revisiones y sigan las instrucciones en los artículos vinculados según lo permita su programa de actualización. Las revisiones se pueden descargar desde las siguientes ubicaciones:
  • CTX564360: https://support.citrix.com/article/CTX564360 
  • CTX569269: https://support.citrix.com/article/CTX569269
  • CTX570473: https://support.citrix. com/article/CTX570473