Citrix-Updates schließen Sicherheitslücken in Xenserver und Hypervisor
Die VMware-Konkurrenten Citrix Xenserver und Hypervisor haben Schwachstellen, die Angreifern die Übernahme der Systeme erlauben.
Citrix warnt vor drei Sicherheitslücken in Xenserver und Hypervisor. Die Software-Entwickler haben aktualisierte Software bereitgestellt, die die Schwachstellen ausbessern soll. IT-Veranwortliche sollten sie möglichst bald anwenden.
Citrix beschreibt in der Sicherheitsmitteilung die Auswirkung von zwei der Lücken folgendermaßen: Unprivilegierter Code in einem Virtuelle-Maschinen-Gast kann Inhalte von Speicherbereichen ableiten, die zur eigenen oder zu anderen VMs auf demselben Hostsystem gehören. Für Systeme, die auf Intel-Prozessoren laufen, hat die Lücke den CVE-Eintrag CVE-2024-2201 erhalten, auf Hosts mit AMD-CPUs hingegen CVE-2024-31142. Eine Risikoeinstufung nach CVSS nimmt Citrix nicht vor, Linux-Distributionen wie Suse vergeben dafür jedoch CVSS-Werte etwa von 5.1 – was einem "mittlerem" Risiko entspricht.
Citrix: Virtualisierer enthält auch eine DoS-Lücke
Unabhängig von der Prozessorarchitektur ist eine Schwachstelle, durch die mit erhöhten Rechten laufender Code in einer Gast-VM den Virtuelle-Maschinen-Host zum Absturz bringen kann. Die Lücke mit dem Eintrag CVE-2023-46842 hat von Suses Entwicklern die Einsortierung als CVSS 6.5, erhalten, was ebenfalls ein mittleres Risiko bedeutet.
Die US-amerikanische Cybersicherheitsbehörde CISA beschreibt die Auswirkungen der drei Sicherheitslücken jedoch wesentlich dramatischer: Angreifer können durch Missbrauch einer dieser Lücken die Kontrolle über ein betroffenes System übernehmen.
Wer den Xenserver 8 einsetzt, erhält auf den Update-Kanälen für Early Access und für die "normale"-Update-Queue Aktualisierungen, die die Lücken stopfen. Für IT-Verantwortliche mit Hypervisor 8.2 CU1 LTSR verteilt Citrix einen Hotfix, der auf einer eigenen Webseite zum Herunterladen bereitsteht.
Nachdem Broadcom VMware übernommen hat, vergraulte der neue Eigentümer viele Kunden. CItrix reagierte mit der Veröffentlichung von Xenserver 8, der den Hypervisor abgelöst hat. Es dürften also mehr Installationen von den Schwachstellen betroffen sein.
(dmk)