米コンピュータ緊急事態対策チーム(US-CERT: United States Computer Emergency Readiness Team)は6月25日(米国時間)、「Citrix Releases Security Updates for Hypervisor|CISA」において、シトリックス・システムズが提供している仮想化プラットフォームの「Citrix Hypervisor」に複数の脆弱性が存在し、同社がセキュリティアップデートをリリースしたことを伝えた。これら脆弱性を悪用されると、ホストがクラッシュしたり、応答しなくなったりするおそれがある。

該当する脆弱性に関する情報は、シトリックスによる次のページにまとまっている。

  • CTX316325: Citrix Hypervisor Security Update

    CTX316325: Citrix Hypervisor Security Update

報告されている脆弱性は以下の2つで、いずれも「Citrix Hypervisor 8.2 LTSR」にのみ影響するものだという。

  • CVE-2021-3416
  • CVE-2021-20257

いずれの脆弱性も、悪用するには攻撃者がゲストVM上で特権コードを実行できる必要があるものの、その特権コードによってホストがクラッシュしたり、応答しなくなったりする可能性があるとのこと。シトリックスがリリースした修正プログラムをインストールすることでこの問題を回避することができる。