Citrix a publié des correctifs pour plusieurs vulnérabilités dans son Hyperviseur qui pourraient entraîner l'exécution de code dans une machine virtuelle, compromettant ou faisant planter l'hôte.

La plus grave de ces failles est CVE-2021-28697 (score CVSS de 7,8), qui pourrait conduire à la compromission de l'hôte : une machine virtuelle invitée peut conserver l'accès à des pages mémoires qui ont pu être libérées puis réutilisées à d'autres fins. Ainsi, un code privilégié malveillant s'exécutant dans une VM invitée peut se voir attribuer deux vCPU ou plus.

La seconde faille, répertoriée CVE-2021-28694, est aussi un problème de mappage de pages qui pourrait conduire à un déni de service (DoS) de l'hôte, selon Citrix.

Un autre problème de déni de service que Citrix a abordé avec cette série de correctifs est CVE-2021-28698 (score CVSS de 5,5). Cette vulnérabilité réside dans le fait que l'hyperviseur peut prendre trop de temps à parcourir les informations stockées dans les mappages de subventions d'un domaine.

Quant à la quatrième vulnérabilité, CVE-2021-28699, elle peut conduire à la compromission de l'hôte si l'administrateur a modifié les limites de la table d'attribution des invités ou des hôtes. Conduisant également à la compromission de l'hôte.

Les problèmes ont un impact sur toutes les versions actuellement prises en charge de Citrix Hypervisor, à l'exception de CVE-2021-28699, qui affecte uniquement Citrix Hypervisor 8.2 LTSR. Citrix a corrigé ces vulnérabilités en publiant des correctifs pour Citrix Hypervisor 7.1 LTSR CU2 et Citrix Hypervisor 8.2 LTSR.

Dans son avis, l'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) encourage les utilisateurs et les administrateurs à appliquer les correctifs nécessaires dès que possible.