Устранены уязвимости в Citrix XenServer

Эксперты исследовательского центра Positive Research обнаружили и помогли устранить ряд уязвимостей в Citrix XenServer. Представленные отчеты содержат описание более десятка уязвимостей различных уровней риска. Одна из них, по мнению экспертов, является критической и позволяет в ряде случаев получить доступ к паролю суперпользователя системы и полный контроль над виртуальной инфраструктурой.

Остальные уязвимости были найдены в управляющем Web-интерфейсе двух приложений Citrix XenServer: Web Self Service и vSwitch Controller.

Как подчеркивают специалисты Positive Research, уязвимости в платформе управления виртуальной инфраструктурой особенно опасны, поскольку злоумышленнику достаточно получить доступ к серверу виртуализации, чтобы проникнуть на любую виртуальную машину в инфраструктуре. Повышение защищенности продуктов, обеспечивающих работу виртуальных серверов, является приоритетной задачей для специалистов в сфере информационной безопасности.

Citrix XenServer — это продукт линейки Citrix Delivery Center, предназначенный для виртуализации серверов и организации работы динамических ЦОД. Web Self Service — портал самообслуживания для пользователей виртуальных машин, которые работают с привилегиями, определенными администратором. Указанные уязвимости содержатся в поколениях XenServer от 5.5 до 6.0, для их устранения необходимо обновить Web Self Service до версии 1.1.1. Web vSwitch Controller – специализированный управляющий виртуальный сервер (Virtual Appliance); обнаруженные в нем уязвимости проявляются на XenServer 5.6, 5.6 SP 1/SP 2 и 6.0, для их устранения необходимо обновить vSwitch Controller до версии 6.0.2.