Angreifern ist es möglich, wenn die Voraussetzungen stimmen, aus mit Citrix Hypervisor erzeugten virtuellen Maschinen, auf Host-Systeme zuzugreifen und diese zum Absturz zu bringen. Laut Entwickler wurden drei Sicherheitslücken geschlossen.
Um zwei, der insgesamt drei Schwachstellen erfolgreich auszunutzen, müssen Angreifer Code mit privilegierten Rechten im Gast-System ausführen können.
Um die dritte Sicherheitslücke ausnutzen zu können müssen Angreifer Netzwerkzugriff auch die Systeme haben, dann könnten sie mittels manipuliertem Netzwerkverkehr Paketverluste provozieren.
Die Sicherheitslücken wurden laut Entwickler mit folgenden Versionen geschlossen:
– Citrix Hypervisor 8.2 LTSR: CTX306481 und CTX306423
– Citrix XenSever LTSR CU: CTX306480
– Citrix XenServer 7.0: CTX306482