Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Actualizaciones de seguridad para Citrix XenServer

Fecha de publicación 22/03/2018
Importancia
5 - Crítica
Recursos Afectados
  • XenServer 7.3
  • XenServer 7.2
  • XenServer 7.1 LTSR Cumulative Update 1
  • XenServer 7.0
Descripción

Se han descubierto varias vulnerabilidades en Citrix XenServer que podrían permitir a un atacante ejecutar código arbitrario, provocar una denegación de servicio o realizar una escalada de privilegios.

Solución

Los clientes que utilicen el modo de red "Linux bridge" no se verán afectados por el problema de compromiso de host.

Descargar y aplicar las siguientes actualizaciones:

Detalle
  • Openvswitch MPLS, en Citrix XenServer versiones 7.0 y 7.1, presenta una vulnerabilidad crítica de desbordamiento de buffer que puede permitir a un atacante remoto ejecutar código arbitrario a través de paquetes MPLS. Se ha reservado el código CVE-2016-2074 para esta vulnerabilidad.
  • Una en Xen 4.10.x puede permitir a un usuario invitado causar una denegación de servicio o realizar una escalada de privilegios activando una transicion en la tabla de v2 a v1. Se ha reservado el código CVE-2018-7541 para esta vulnerabilidad de criticidad alta.
  • Para la vulnerabilidad de severidad media se ha reservado el código CVE-2018-7540.

Encuesta valoración