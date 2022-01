Die Virtualisierungslösungen von Citrix enthielten Sicherheitslücken, die der Hersteller mit Aktualisierungen schließt. Betroffen sind die Workspace App for Linux sowie der Hypervisor selber.

In der Workspace App for Linux hätten lokale Anwender ihre Zugriffsrechte durch Schwachstellen auf root ausweiten können (CVE-2022-21825). Betroffen sind die Versionen Workspace App for Linux 2012 bis 2111. Zudem muss die Komponente App Protection dafür installiert sein. Ob dies in der Standard-Installation der Fall ist, erwähnt Citrix in seinem Security Bulletin nicht; betroffen seien keine anderen Plattformen außer Linux. Das Risiko der Lücke schätzt der Hersteller jedoch als "hoch" ein.

Schwachstellen im Hypervisor, die Citrix in die Risikostufe "mittel" einsortiert, könnten Angreifer mit privilegiertem Code in virtuellen Maschinen missbrauchen, um den Host abstürzen zu lassen oder so zu beeinflussen, dass er nicht mehr reagiert (CVE-2021-28704, CVE-2021-28705, CVE-2021-28714, CVE-2021-28715). Alle diese Lücken betreffen sämtliche derzeit unterstützten Hypervisor-Versionen, erläutert Citrix in seinem Advisory.

Aktualisierte Software verfügbar

Die Lücke, die die Rechteausweitung ermöglicht, dichtet die Workspace App for Linux 2112 und neuere Versionen ab, schreibt Citrix in seiner Mitteilung. Die Sicherheitslücken im Hypervisor schließen die Versionen Hypervisor 8.2 CU1 LTSR, Hypervisor 8.2 sowie XenServer 7.1 LTSR CU2. Die Downloads verlinkt Citrix in der Sicherheitsmeldung dazu.

Administratoren und IT-Sicherheitsverantwortliche sollten die Aktualisierungen so schnell wie möglich installieren, rät Cisco im Fall der Workspace App for Linux. Den Hypervisor sollten sie hingegen aktualisieren, wie es ihr Patch-Zeitplan erlaubt.

Lesen Sie auch Themenseite zu Citrix auf heise online

(dmk)