Citrix notifica 2 nuevos avisos de seguridad que afectan a sus productos

Citrix ha publicado 2 nuevos avisos de seguridad que contemplan 6 vulnerabilidades, categorizadas en 1 de severidad Crítica y 1 se severidad Alta, 1 de severidad Media, y 3 sin clasificación. Estas fallas afectan a los siguientes productos:

• NetScaler
• Hypervisor
• XenServer

CVE-2023-4966 [CVSS 9.4]
Divulgación de información confidencial

Esta vulnerabilidad relacionada con el búfer no autenticado, permite a un atacante divulgar información confidencial. 

CVE-2023-4967 [CVSS 8.2]
Denegación de servicio

Esta vulnerabilidad relacionada con el búfer no autenticado, permite a un atacante facilitar una denegación de servicio. 

CVE-2023-20588 [CVSS 5.5]

Un error de división por cero en algunos procesadores AMD puede devolver datos especulativos, lo que puede provocar la pérdida de confidencialidad.

Factores atenuantes 

• CVE-2023-20588 solo afecta a los sistemas que se ejecutan en CPU AMD Zen1. Los clientes que utilizan otras generaciones de CPU AMD o que no utilizan CPU AMD no se ven afectados por este problema.

Sin Clasificar

CVE-2023-34324, CVE-2023-34326, CVE-2023-34327

Esta vulnerabilidad puede provocar que se bloquee una máquina virtual diferente que se ejecuta en el host basado en AMD. Esta falla puede permitir que el código de una máquina virtual invitada determine valores de divisiones de enteros anteriores en código que se ejecuta en el mismo núcleo de CPU.

Factores atenuantes

• CVE-2023-34326: solo afecta a los sistemas que tienen:
  • Un dispositivo PCI vinculado a través de la máquina virtual invitada por el administrador del host.
  • Una CPU AMD. Los clientes que no utilizan CPU AMD y los clientes que no utilizan la función de paso a través de PCI no se ven afectados por este problema.
• CVE-2023-34327: solo afecta a los sistemas que se ejecutan en CPU AMD. Los clientes que no utilizan CPU AMD no se ven afectados por este problema.

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Citrix recomienda a los clientes afectados instalen las revisiones y sigan las instrucciones de los artículos vinculados según lo permita su programación de actualización. Las revisiones se pueden descargar desde las siguientes ubicaciones:
  • CTX575070 - https://support.citrix.com/article/CTX575070 
  • CTX579955 - https://support.citrix.com/article/CTX579955 
  • CTX580401 - https://support.citrix.com/article/CTX580401 
  • CTX581053 - https://support.citrix.com/article/CTX581053 
  • CTX581108 - https://support.citrix.com/article/CTX581108