Risque(s)
- Déni de service
- Atteinte à la confidentialité des données
Résumé
De multiples vulnérabilités ont été découvertes dans Citrix Hypervisor. Elles permettent à un attaquant de provoquer un déni de service au niveau de l'hyperviseur depuis une machine virtuelle et une atteinte à la confidentialité des données.
La CVE-2022-23034 concerne les hyperviseurs sur lesquels des machines virtuelles en mode "paravirtualisé" (PV).
La CVE-2022-23035 concerne les hyperviseurs sur lesquels des machines virtuelles ont accès à un périphérique PCI grâce au mode "PCI passthrough".
La CVE-2022-0145 concerne une vulnérabilité affectant certains CPU Intel.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Citrix CTX337526 du 08 février 2022
https://support.citrix.com/article/CTX337526 - Référence CVE CVE-2022-23034
https://www.cve.org/CVERecord?id=CVE-2022-23034 - Référence CVE CVE-2022-23035
https://www.cve.org/CVERecord?id=CVE-2022-23035 - Référence CVE CVE-2021-0145
https://www.cve.org/CVERecord?id=CVE-2021-0145