Citrix corrige deux vulnérabilités dans son produit XenServer

Deux vulnérabilités ont été identifiées dans Citrix XenServer. Leur exploitation permettrait à un attaquant en mesure d'exécuter du code arbitraire sur une machine virtualisée de provoquer un déni de service du serveur hôte. Ces vulnérabilités affectent toutes les versions de XenServer encore supportées par Citrix.

Les vulnérabilités suivantes ont été corrigées :

  • CVE-2018-12891 (CVSS : 6.5) : un attaquant pourrait contourner la fonction permettant d'anticiper l'évolution de la charge du CPU du serveur hôte afin que plus de CPU soit alloué à la machine invitée.
  • CVE-2018-12893 (CVSS : 6.5) : des vérifications de sécurité risquant de provoquer un plantage du serveur hôte peuvent être déclenchées par une machine virtualisée.
Informations
+

Risque

  • Déni de service

Criticité

  • CVSS v3 : 6.5

Existence d’un code d’exploitation de la vulnérabilité

  • Non, aucun code permettant l’exploitation de la vulnérabilité n’est connu publiquement à ce jour.

Composants & versions vulnérables

  • Citrix XenServer version 7.5
  • Citrix XenServer version 7.4
  • Citrix XenServer version 7.3
  • Citrix XenServer version 7.1 LTSR CU1
  • Citrix XenServer version 7.0

CVE

  • CVE-2018-12891
  • CVE-2018-12893

Recommandations
+

Correctifs

  • Un correctif de sécurité a été publié par Citrix pour chaque version vulnérable :

Solution de contournement

  • Il n'existe actuellement pas de solution de contournement.