Plusieurs vulnérabilités importantes corrigées dans des produits Citrix

L’éditeur Citrix a publié un bulletin de sécurité traitant de 4 vulnérabilités affectant plusieurs de ses produits. Les produits impactés sont Citrix Hypervisor et XenServer. Ces vulnérabilités pourraient permettre à un attaquant de compromettre les hôtes vulnérables à partir de machines virtuelles hébergées sur ceux-ci, d’effectuer un déni de service, et d’effectuer une élévation de privilèges dans certains cas.

Des correctifs de sécurité ont été apportés sur les produits affectés.

Détails techniques :

Peu de détails techniques sont connus à ce jour pour chaque vulnérabilité :

• CVE-2019-18420 [CVSSv3 6.5] : vulnérabilité permettant à un attaquant d’effectuer un déni de service. La vulnérabilité provient d’un dysfonctionnement lors de la gestion d’erreurs générée par l’utilisation de caractères ayant un mauvais format.
• CVE-2019-18424 [CVSSv3 6.8] : vulnérabilité permettant à un attaquant d'effectuer une élévation de privilèges.
• CVE-2019-18421 [CVSSv3 7.5] : vulnérabilité permettant à un attaquant d'effectuer une élévation de privilèges afin d'obtenir les droits d'administrateur de la machine hôte, et ainsi de prendre le contrôle du système. L’attaquant doit cependant être administrateur sur la machine virtuelle pour pouvoir exploiter cette vulnérabilité.
• CVE-2019-18425 [CVSSv3 9.8] : vulnérabilité permettant à un attaquant d'effectuer une élévation de privilèges.