Kriittinen haavoittuvuus Citrix Endpoint Managementin paikallisissa asennuksissa
Haavoittuvuus28/2020
Citrix on julkaissut kriittisen haavoittuvuuden ja päivityksen Citrix Endpoint Managementin eli XenMobilen paikallisiin asennusratkaisuihin. XenMobile:n pilviratkaisut on jo päivitetty haavan osalta.
On todennäköistä, että haavoittuvuuteen julkaistaan hyväksikäyttömenetelmiä nopealla aikataululla. Tämän vuoksi päivitykset tulee asentaa kiireellisesti, tai haavoittuvat laitteet tulee ottaa pois verkosta. Haavoittuvuuksien avulla hyökkääjän on mahdollista saada ylläpitäjän oikeudet kohdejärjestelmistä.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvat ohjelmistot
Kriittinen haavoittuvuus koskee seuraavia versioita:
XenMobile server 10.12 ennen RP2 -päivitystä
XenMobile server 10.11 ennen RP4 -päivitystä
XenMobile server 10.10 ennen RP6 -päivitystä
XenMobile server kaikki versiot ennen 10.9 RP5 -päivitystä
Alla linkki uusimpiin päivityksiin versioittain:
10.12: https://support.citrix.com/article/CTX277473 (Ulkoinen linkki)
10.11: https://support.citrix.com/article/CTX277698 (Ulkoinen linkki)
10.10: https://support.citrix.com/article/CTX279101 (Ulkoinen linkki)
10.9: https://support.citrix.com/article/CTX279098 (Ulkoinen linkki)
10.9 ja 10.10 ovat jo tuen ulkopuolella, mutta haavoittuvuuden luonteen takia Citrix julkaisee niihinkin tämän päivityksen.
Citrix suosittelee päivittämään 10.12 RP3:een, joka on uusin tuettu versio.
Lisätietoja
Citrixin haavatiedote
https://support.citrix.com/article/CTX277457 (Ulkoinen linkki)