Kriittinen haavoittuvuus Citrix Endpoint Managementin paikallisissa asennuksissa
Haavoittuvuus28/2020
Citrix on julkaissut kriittisen haavoittuvuuden ja päivityksen Citrix Endpoint Managementin eli XenMobilen paikallisiin asennusratkaisuihin. XenMobile:n pilviratkaisut on jo päivitetty haavoittuvuuden osalta.
On todennäköistä, että haavoittuvuuteen julkaistaan hyväksikäyttömenetelmiä nopealla aikataululla. Tämän vuoksi päivitykset tulee asentaa kiireellisesti, tai haavoittuvat laitteet tulee ottaa pois verkosta. Haavoittuvuuksien avulla hyökkääjän on mahdollista saada ylläpitäjän oikeudet kohdejärjestelmistä.
Kohde
- Palvelimet ja palvelinsovellukset
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Suojauksen ohittaminen
- Käyttövaltuuksien laajentaminen
- Tietojen muokkaaminen
- Luottamuksellisen tiedon hankkiminen
Ratkaisu
- Korjaava ohjelmistopäivitys
Haavoittuvuuden kohde
Kriittinen haavoittuvuus koskee seuraavia versioita:
XenMobile server 10.12 ennen RP2 -päivitystä
XenMobile server 10.11 ennen RP4 -päivitystä
XenMobile server 10.10 ennen RP6 -päivitystä
XenMobile server kaikki versiot ennen 10.9 RP5 -päivitystä
Alla linkki uusimpiin päivityksiin versioittain:
10.12: https://support.citrix.com/article/CTX277473 (Ulkoinen linkki)
10.11: https://support.citrix.com/article/CTX277698 (Ulkoinen linkki)
10.10: https://support.citrix.com/article/CTX279101 (Ulkoinen linkki)
10.9: https://support.citrix.com/article/CTX279098 (Ulkoinen linkki)
10.9 ja 10.10 ovat jo tuen ulkopuolella, mutta haavoittuvuuden luonteen takia Citrix julkaisee niihinkin tämän päivityksen.
Citrix suosittelee päivittämään 10.12 RP3:een, joka on uusin tuettu versio.
Mitä voin tehdä?
Citrixin haavoittuvuustiedote
https://support.citrix.com/article/CTX277457 (Ulkoinen linkki)