Ranjivost značajne razine rizika u Citrix Hypervisor virtualizacijskoj platformi

• Ranjivost CVE-2023-46835 može omogućiti ovlaštenom zlonamjernom kodu unutar guest virtualne mašine da ugrozi AMD-based host sustav putem PCI uređaja proslijeđenog kroz sustav.
• Ranjivost CVE-2023-23583 (CVSS ocjena 8.8), utječe na Intel 'Ice Lake' (2019) i kasnije generacije Intel-ovih procesora. Iako ovo nije propust u samom proizvodu Citrix Hypervisor, timovi iz Citrixa izdali su ažurirani Intel mikrokod kako bi ublažili ovaj hardverski propust s procesorom. Ova ranjivost može omogućiti neprivilegiranom kodu unutar guest virtualne mašine da ugrozi tu virtualnu mašinu i potencijalno host računalni sustav.

• Ranjivosti utječu na verziju Citrix Hypervisor 8.2 CU1 LTSR:
  • CVE-2023-23583 utječe samo na sustave koji koriste Intel Ice Lake ili kasnije procesore.
  • CVE-2023-46835 utječe samo na sustave koji imaju PCI uređaj proslijeđen guest virtualnoj mašini od strane administratora host sustava i također AMD procesore. Korisnici koji ne koriste AMD procesore i ne koriste značajku prosljeđivanja PCI uređaja nisu zahvaćeni navedenom ranjivosti.

• https://support.citrix.com/article/CTX583037/citrix-hypervisor-security-bulletin-for-cve202323583-and-cve202346835
• https://support.citrix.com/article/CTX583402/hotfix-xs82ecu1057-for-citrix-hypervisor-82-cumulative-update-1
• https://www.bleepingcomputer.com/news/security/citrix-hypervisor-gets-hotfix-for-new-reptar-intel-cpu-flaw/