Numéro : AV18-139
Date : Le 16 août 2018
Objet
Le présent avis a pour but d'attirer l'attention sur des mises à jour de sécurités publiées par Citrix.
Évaluation
Citrix a émis des mises à jour de sécurité pour XenServer suite à l’avis de sécurité publié par Intel visant des vulnérabilités dans la méthode d’exécution spéculative via un canal latéral appelé « L1 Terminal Fault (L1TF) ». Une exploitation réussite de l’une de ces vulnérabilités pourrait permettre à du code utilisateur, s’exécutant à l’intérieur d’une machine virtuelle, de lire la mémoire de l’hôte, ce qui inclut la mémoire dédiée à d’autres machines virtuelles.
Produits affectés:
- Citrix XenServer 7.5
- Citrix XenServer 7.4
- Citrix XenServer 7.1 LTSR CU1
- Citrix XenServer 7.0
Références CVE:
CVE-2018-3620, CVE-2018-3646, CVE-2018-14007, CVE-2018-TBA1, CVE-2018-TBA2
Mesures Recommandées
Le CCRIC recommande que les administrateurs de système mettent à l'essai et déploient les mises à jour diffusées par le fournisseur aux applications concernées.
Références (en anglais) :