Les vulnérabilités que Citrix a corrigées dans Hypervisor cette semaine pourraient permettre au code exécuté dans une machine virtuelle de provoquer un déni de service sur l’hôte.

Anciennement XenServer, Citrix Hypervisor est une plate-forme open-source pour la virtualisation (bureau, serveur et cloud), permettant le déploiement de plusieurs machines virtuelles sur le même serveur et offrant une intégration avec l’infrastructure existante.

Suivi en tant que CVE-2021-28038 et CVE-2021-28688, les vulnérabilités nouvellement corrigées pourraient être utilisées de manière abusive pour faire planter l’hôte ou ne plus répondre. Pour cela, un attaquant devrait être capable d’exécuter du code privilégié dans une machine virtuelle invitée, explique Citrix.

Il a été constaté que les deux vulnérabilités affectaient toutes les versions d’hyperviseur actuellement prises en charge, y compris la version 8.2 LTSR.

CVE-2021-28038 est une vulnérabilité identifiée dans le noyau Linux à 5.11.3, comme utilisé avec Xen PV, et existe en raison du manque de traitement nécessaire pour les erreurs dans le pilote netback, conduisant au déni de service du système d’exploitation hôte « pendant mauvais comportement d’un pilote d’interface réseau. »

CVE-2021-28688, d’autre part, a eu un impact sur toutes les versions de Linux qui incluent le correctif pour CVE-2021-26930 (XSA-365), un bogue qui affecte le mappage des subventions de blkback.

La nouvelle vulnérabilité pourrait permettre à un pilote frontal malveillant ou bogué de provoquer des fuites de ressources à partir d’un pilote backend correspondant, conduisant ainsi à un déni de service sur l’hôte. Les versions Linux aussi anciennes que 3.11 sont probablement affectées.

Citrix cette semaine a également corrigé une troisième vulnérabilité (CVE-2020-35498) qui affecte uniquement Hypervisor 8.2 LTSR et qui pourrait entraîner un trafic réseau malveillant entraînant la suppression des paquets suivants.

Le géant de la technologie a publié des correctifs qui corrigent ces vulnérabilités et exhorte les clients à appliquer ces correctifs dès que possible. En outre, la société dit qu’elle informe à la fois les clients et le canal …