Kriittinen haavoittuvuus Citrix Gateway ja Citrix ADC -tuotteissa
Haavoittuvuus21/2022CVSS 9.8CVE-2022-27510, CVE-2022-27513, CVE-2022-27516 (Ulkoinen linkki)
Citrix on julkaissut tietoturvapäivityksiä korjatakseen kriittisen haavoittuvuuden (CVE-2022-27510) Citrix Application Delivery Controller (ADC) - ja Citrix Gateway -tuotteissaan. Citrix kehottaa kyseisten tuotteiden järjestelmänvalvojia päivittämään tuotteiden ohjelmistoversiot uusimpiin versioihin viipymättä.
Kriittisin haavoittuvuus (CVE-2022-27510) vaikuttaa laitteisiin, jotka toimivat yhdyskäytävänä (käyttävät SSL VPN -toimintoa), tai jotka on otettu käyttöön ICA-välityspalvelimena (ICA Proxy) ja jossa tunnistautuminen on käytössä. Haavoittuvuuden onnistunut hyväksikäyttö mahdollistaa hyökkääjälle pääsyn laitteeseen ja tunnistautumisen ohittamisen. Päivityspaketti korjaa myös kaksi muuta haavoittuvuutta tuotteissa.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
- Ilman käyttäjän toimia
- Ilman kirjautumista
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Hyväksikäyttömenetelmä tiedossa
- Ei julkaistu
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Haavoittuvuus koskee:
- Citrix ADC ja Citrix Gateway 13.1 versiota 13.1-33.47 aiemmat versiot
- Citrix ADC ja Citrix Gateway 13.0 versiota 13.0-88.12 aiemmat versiot
- Citrix ADC ja Citrix Gateway 12.1 versiota 12.1.65.21 aiemmat versiot
- Citrix ADC 12.1-FIPS versiota 12.1-55.289 aiemmat versiot
- Citrix ADC 12.1-NDcPP versiota 12.1-55.289 aiemmat versiot
Mistä on kysymys?
Päivitä tuote versioon:
- Citrix ADC ja Citrix Gateway 13.1-33.47 tai uudemmat versiot
- Citrix ADC ja Citrix Gateway 13.0-88.12 ja 13.0 uudemmat versiot
- Citrix ADC ja Citrix Gateway 12.1-65.21 ja 12.1 uudemmat versiot
- Citrix ADC 12.1-FIPS 12.1-55.289 ja 12.1-FIPS uudemmat versiot
- Citrix ADC 12.1-NDcPP 12.1-55.289 ja 12.1-NDcPP uudemmat versiot