Se han detectado una serie de vulnerabilidades en
XenServer de Citrix. Su explotación puede permitir la escalada de privilegios
en un HVM. Ha sido catalogada con Importancia: 4 - Alta
Recursos afectados
1) XenServer 6.1.0
2) XenServer 6.0.2
3) XenServer 6.0
4) XenServer 6.2.0
Detalle e Impacto de la vulnerabildad
Se han reservado las siguientes vulnerabilidades:
· CVE-2014-8595
(Alta): Falta de comprobación de privilegios en la emulación de x86.
· CVE-2014-8866
(Media): Excesivas comprobaciones en la traducción de los argumentos de
compatibilidad del modo "hypercall".
· CVE-2014-8867
(Media): Limites insuficiente en "REP MOVS" en el MMIO emulado dentro
del hypervisor.
· CVE-2014-1666
(Baja): PHYSDEVOP_{prepare,release}_msix expuesto a usuarios sin privilegios.
Recomendación
Citrix recomienda a sus clientes afectados que instalen
los parches desarrollados a tal efecto y que se pueden descargar de:
1) Citrix
XenServer 6.2 Service Pack 1: CTX141717 https://support.citrix.com/article/CTX141717
2) Citrix
XenServer 6.1: CTX141718 https://support.citrix.com/article/CTX141718
4)
Citrix
XenServer 6.0.2 con la configuración Common Criteria: CTX141719 https://support.citrix.com/article/CTX141719
Más información
- Citrix XenServer Multiple Security Updates http://support.citrix.com/article/CTX200288