Gefährliche Lücken in Virtualisierungsplattform Citrix Hypervisor geschlossen
Sicherheitsupdates schließen fünf Sicherheitslücken in Citrix Hypervisor.
Angreifer könnten aus mit Citrix Hypervisor erstellen virtuellen Maschinen (VM) ausbrechen und Host-Systeme kompromittiere.
Nur eine der fünf Lücken (CVE-2021-28697) ist mit dem Bedrohungsgrad "hoch" eingestuft. Wie Angriffe im Detail ablaufen könnten, geht aus der Warnmeldung nicht hervor. Angreifer sollen durch Code-Ausführung in einer Gast-VM Host-Systeme kompromittieren können. Eine Schwachstelle (CVE-2021-28701) mit identischer Beschreibung wurde noch nicht mit einer Einstufung versehen.
Die verbleibenden Lücken (CVE-2021-28694 "mittel", CVE-2021-28698 "mittel", CVE-2021-28699 "mittel") könnten ebenfalls als Schlupflöcher ins Host-System dienen und etwa einen DoS-Zustand verursachen.
Betroffene Versionen
Die Schwachstelle mit der Kennung CVE-2021-28699 betrifft Citrix zufolge ausschließlich Hypervisor 8.2 LTSR. Die anderen Lücken sollen alle Hypervisor-Ausgaben bedrohen. Die Entwickler geben an, die fünf Sicherheitslücken in der Versionen Hypervisor 8.2 LTSR: CTX324257 und Hypervisor 7.1 LTSR CU2: CTX324256 geschlossen zu haben.
(des)