DFN-CERT

Advisory-Archiv

2022-1413: Citrix Hypervisor, Citrix XenServer: Mehrere Schwachstellen ermöglichen u. a. die Eskalation von Privilegien

Historie:

Version 1 (2022-06-24 13:30)
Neues Advisory

Betroffene Software

Virtualisierung

Betroffene Plattformen

Netzwerk
Hypervisor

Beschreibung:

Ein Gastbenutzer als Angreifer kann mehrere Schwachstellen in Intel CPU Hardware lokal ausnutzen, um aus einer Gast VM mit im Speicher gehaltenen Daten einer anderen Gast VM zu interagieren und in der Folge Informationen auszuspähen.

Ein Gastbenutzer als Angreifer mit erweiterten Privilegien kann eine Schwachstelle lokal ausnutzen, um Privilegien zu eskalieren und in der Folge den Host zu kompromittieren.

Für die Ausnutzung der meisten Schwachstellen sind übliche Privilegien erforderlich. Die erfolgreiche Ausnutzung einer Schwachstelle kann Einfluss auf andere Komponenten haben.

Citrix informiert über die Schwachstelle CVE-2022-26362 in Citrix XenServer 7.1 CU2 LTSR stellt einen Hotfix als Sicherheitsupdate bereit.

Weitere Schwachstellen betreffen nicht den Citrix Hypervisor selbst, sondern die zugrundeliegende Hardware. Citrix stellt Hotfixes als Sicherheitsupdates für Citrix XenServer 7.1 CU2 LTSR und Citrix Hypervisor 8.2 CU1 LTSR zur Verfügung, um die Schwachstellen in Intel CPUs zu mitigieren.

Eine Beeinträchtigung von Systemen, die nicht Intel CPUs nutzen, besteht für diese Schwachstellen nicht.

Schwachstellen:

CVE-2022-21123

Schwachstelle in Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2022-21125

Schwachstelle in Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2022-21127

Schwachstelle in Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2022-21166

Schwachstelle in Intel-Prozessoren ermöglicht Ausspähen von Informationen

CVE-2022-26362

Schwachstelle in Xen ermöglicht u. a. Privilegieneskalation

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.