Se han descubierto
varias vulnerabilidades en Citrix XenServer que podrían permitir a un atacante
ejecutar código arbitrario, provocar una denegación de servicio o realizar una
escalada de privilegios, catalogada de Importancia:
5 - Crítica
Recursos afectados:
1.
XenServer
7.3
2.
XenServer
7.2
3.
XenServer
7.1 LTSR Cumulative Update 1
4.
XenServer
7.0
Recomendación
Los clientes que
utilicen el modo de red "Linux bridge" no se verán afectados por el
problema de compromiso de host.
Descargar y aplicar
las siguientes actualizaciones:
- Citrix XenServer 7.3: CTX233368, disponible en https://support.citrix.com/article/CTX233368
- Citrix XenServer 7.2: CTX233366, disponible en https://support.citrix.com/article/CTX233366
- Citrix XenServer 7.1 LTSR CU1: CTX233363, disponible
en https://support.citrix.com/article/CTX233363
y CTX233365, disponible en https://support.citrix.com/article/CTX233365
- Citrix XenServer 7.0: CTX233362, disponible en https://support.citrix.com/article/CTX233362
y CTX233364, disponible en https://support.citrix.com/article/CTX233364
Detalle de vulnerabilidades:
Openvswitch MPLS, en
Citrix XenServer versiones 7.0 y 7.1, presenta una vulnerabilidad crítica de
desbordamiento de buffer que puede permitir a un atacante remoto ejecutar
código arbitrario a través de paquetes MPLS. Se ha reservado el código
CVE-2016-2074 para esta vulnerabilidad.
Una en Xen 4.10.x
puede permitir a un usuario invitado causar una denegación de servicio o
realizar una escalada de privilegios activando una transicion en la tabla de v2
a v1. Se ha reservado el código CVE-2018-7541 para esta vulnerabilidad de
criticidad alta.
Para la vulnerabilidad
de severidad media se ha reservado el código CVE-2018-7540.
Más información
·
Citrix
XenServer Multiple Security Updates https://support.citrix.com/article/CTX232655
Fuente: INCIBE