Risques
- Atteinte à la confidentialité des données
- Déni de service
Résumé
De multiples vulnérabilités ont été découvertes dans Citrix Hypervisor. Elles permettent à un attaquant de provoquer un déni de service au niveau de l'hyperviseur depuis une machine virtuelle et une atteinte à la confidentialité des données.
La CVE-2022-23034 concerne les hyperviseurs sur lesquels des machines virtuelles en mode "paravirtualisé" (PV).
La CVE-2022-23035 concerne les hyperviseurs sur lesquels des machines virtuelles ont accès à un périphérique PCI grâce au mode "PCI passthrough".
La CVE-2022-0145 concerne une vulnérabilité affectant certains CPU Intel.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Citrix CTX337526 du 08 février 2022 https://support.citrix.com/article/CTX337526
- Référence CVE CVE-2021-0145 https://www.cve.org/CVERecord?id=CVE-2021-0145
- Référence CVE CVE-2022-0145 https://www.cve.org/CVERecord?id=CVE-2022-0145
- Référence CVE CVE-2022-23034 https://www.cve.org/CVERecord?id=CVE-2022-23034
- Référence CVE CVE-2022-23035 https://www.cve.org/CVERecord?id=CVE-2022-23035