Citrix schreibt in einer Sicherheitsmeldung, dass die Lücken komplex zu sein scheinen. So gibt es die Unterscheidung zwischen Hardware Virtual Machine (HVM) und Paravirtualisierung (PV). Bei HVM weiß das Gastsystem nichts von der Virtualisierung. PC-Maschinen allerdings nutzen speziell angepasste Kernel.
Durch Fehler in der Zugriffslogik kann ein Gast fälschlicherweise seine Rechte ausweiten und dadurch das System übernehmen (CVE-2022-26362, CVSS 6.4, Risiko "mittel"). Auch besonders Intel-Prozessoren sind betroffen. Durch die Fehler könnte die CPU-Hardware Code in Gastsystemen erlauben, auf kleine Bereiche des Speichers zuzugreifen, die an anderen Stellen im System aktiv genutzt werden (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166). Die Hotfixes heben die Software auf Versionsstand Citrix XenServer 7.1 CU2 LTSR (Hotfix XS71ECU2075) respektive Citrix Hypervisor 8.2 CU1 LTSR (Hotfix XS82ECU1012).
Quelle: heise online Redaktion
Weiter Informationen zum Thema Business Security finden Sie hier.