Basque Cyber Security Centre - Zibersegurtasun Euskal Zentroa

Argitalpen data: 2020/07/08

Garrantzia: Kritikoa

Kaltetutako baliabideak:

• Citrix ADC eta Citrix Gateway, 13.0-58.30 bertsioaren aurrekoak;
• Citrix ADC eta Citrix Gateway, 12.1-57.18 bertsioaren aurrekoak;
• Citrix ADC eta Citrix Gateway, 12.0-63.21 bertsioaren aurrekoak;
• Citrix ADC eta Citrix Gateway, 11.1-64.14 bertsioaren aurrekoak;
• NetScaler ADC eta NetScaler Gateway, 10.5-70.18 bertsioaren aurrekoak;
• Citrix SD-WAN WANOP, 11.1.1ay bertsioaren aurrekoak;
• Citrix SD-WAN WANOP, 11.0.3d bertsioaren aurrekoak;
• Citrix SD-WAN WANOP, 10.2.7 bertsioaren aurrekoak;
• Linuxerako Citrix Gateway Plug-in, 1.0.0.137 bertsioaren aurrekoak.

Azalpena:

Citrix erakundeak Citrix ADC? (NetScaler ADC izenez ezagunak), Citrix Gateway?( NetScaler Gateway gisa ezagunak) eta Citrix SD-WAN WANOP produktuen ahultasunen berri eman du. Horiek baliatuta, erasotzaile batek zerbitzu ukapena eragin lezake, baita kode injekzioak, pribilegioen igoera, informazioaren zabalkundea edota Cross Site Scripting (XSS) ere.

Konponbidea:

Citrixek Citrix ADC, Citrix Gateway eta Citrix SD-WAN WANOP produktuetarako bertsioak kaleratu ditu, ahultasun horiek konpontzeko. Citrixek gomendatu du bezeroek instalazio horiek berehala instalatzeko.

Xehetasuna:

Citrix erakundeak jakinarazitako ahultasunen bidez, kaltetutako sistemak konprometitu daitezke, administrazio interfazean Cross Site Scripting (XSS) eraso bat burutu edo gailurako deskarga bat egin; horrela, erabiltzailearen ekipo lokala konprometitu daiteke administrazio saretik eginez gero, baita zerbitzu ukapena eragin edota pribilegioetan gora egin ere.

Ahultasun horietarako, honako identifikatzaileak erreserbatu dira: CVE-2019-18177, CVE-2020-8187, CVE-2020-8190, CVE-2020-8191, CVE-2020-8193, CVE-2020-8194, CVE-2020-8195, CVE-2020-8196, CVE-2020-8197, CVE-2020-8198 eta CVE-2020-8199.

Etiketak: Eguneratzea, Ahultasuna