19 de abril de 2015

CITRIX XENSERVER. Actualización de seguridad

Se han resuelto tres vulnerabilidades de seguridad en el servidor Citrix XenServer que podrían ser aprovechadas por un atacante que administre una máquina virtual para comprometer al anfitrión HVM., catalogada de Importancia: 4 - Alta
Recursos afectados
  • Versiones de Citrix XenServer 6.5 y anteriores.
Detalle de la actualización
Las vulnerabilidades corregidas en esta actualización son las siguientes:
  • Desbordamiento de pila en el emulador VGA Cirrus. Se ha reservado el identificador CVE-2014-8106 para esta vulnerabilidad.
  • Denegación de Servicio a través de la función set_pixel_format del QEMU que permitía una DoS. Se ha reservado el identificador CVE-2014-7815 para esta vulnerabilidad.
  • Lectura de memoria usando el emulador VGA del QEMU. Se ha reservado el identificador CVE-2014-3615 para esta vulnerabilidad.
Recomendación
Citrix ha generado parches para solucionar estas vulnerabilidades. El parche dependerá de la versión de la siguiente forma:
  1. Citrix XenServer 6.5: CTX142273 https://support.citrix.com/article/CTX142273
  2. Citrix XenServer 6.2 Service Pack 1: CTX142272 https://support.citrix.com/article/CTX142272
  3. Citrix XenServer 6.1: CTX142271 https://support.citrix.com/article/CTX142271
  4. Citrix XenServer 6.0.2: CTX142269 https://support.citrix.com/article/CTX142269
  5. Citrix XenServer 6.0.2 usando la configuración Common Criteria: CTX142270  https://support.citrix.com/article/CTX142270
  6. Citrix XenServer 6.0.0: CTX142268 https://support.citrix.com/article/CTX142268
Más información
Fuente: INCIBE