Vulnerabilidades afectan a productos Citrix

Citrix ha publicado 1 nuevo aviso de seguridad que contempla 2 vulnerabilidades de severidad Alta, las cuales afectan al Citrix Hypervisor.

Vulnerabilidad para Citrix Hypervisor

CVE-2023-46835 [CVSSv3.1: 8.8]

Se ha descubierto un problema que afecta a Citrix Hypervisor que  puede permitir que un código privilegiado malicioso en una máquina virtual invitada, comprometa un host basado en AMD a través de un dispositivo PCI.

Nota:
CVE-2023-23583 solo afecta a los sistemas que se ejecutan en Intel Ice Lake o CPU posteriores.

CVE-2023-23583 [CVSSv3.1: 8.8]
Esta vulnerabilidad afecta a determinadas CPU Intel. Aunque esto no es un problema en el producto Citrix Hypervisor en sí, hemos incluido un microcódigo Intel actualizado para mitigar este problema de hardware de la CPU. Este problema puede permitir que el código sin privilegios en una VM invitada comprometa esa VM y, potencialmente, al host.

Nota:
CVE-2023-46835 solo afecta a los sistemas que poseen:

• Un dispositivo PCI pasado a la máquina virtual invitada por el administrador del host  
• Una CPU AMD. Este problema no afecta a los clientes que no utilizan CPU AMD ni a los clientes que no utilizan la función de transferencia PCI.

• Instalar las actualizaciones del fabricante disponibles en medios oficiales del proveedor, previo análisis del impacto que podría provocar en los servicios críticos para el negocio de su organización. Para ello consulte con su personal técnico o áreas resolutorias correspondientes.
• Para las revisiones de la actualización sugerida por el fabricante revisar el siguiente enlace:
  • https://support.citrix.com/article/CTX583402