Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Valikko

Citrix on julkaissut tietoturvapäivityksiä korjatakseen kriittisen haavoittuvuuden (CVE-2022-27510) Citrix Application Delivery Controller (ADC) - ja Citrix Gateway -tuotteissaan. Citrix kehottaa kyseisten tuotteiden järjestelmänvalvojia päivittämään tuotteiden ohjelmistoversiot uusimpiin versioihin viipymättä.

Kriittisin haavoittuvuus (CVE-2022-27510) vaikuttaa laitteisiin, jotka toimivat yhdyskäytävänä (käyttävät SSL VPN -toimintoa), tai jotka on otettu käyttöön ICA-välityspalvelimena (ICA Proxy) ja jossa tunnistautuminen on käytössä. Haavoittuvuuden onnistunut hyväksikäyttö mahdollistaa hyökkääjälle pääsyn laitteeseen ja tunnistautumisen ohittamisen. Päivityspaketti korjaa myös kaksi muuta haavoittuvuutta tuotteissa.

Kohde

  • Palvelimet ja palvelinsovellukset

Hyökkäystapa

  • Etäkäyttö
  • Ilman käyttäjän toimia
  • Ilman kirjautumista

Vaikutukset

  • Komentojen mielivaltainen suorittaminen
  • Suojauksen ohittaminen
  • Käyttövaltuuksien laajentaminen
  • Tietojen muokkaaminen
  • Luottamuksellisen tiedon hankkiminen

Hyväksikäyttömenetelmä tiedossa

  • Ei julkaistu

Ratkaisu

  • Korjaava ohjelmistopäivitys

Haavoittuvuuden kohde

Haavoittuvuus koskee:

  • Citrix ADC ja Citrix Gateway 13.1 versiota 13.1-33.47 aiemmat versiot
  • Citrix ADC ja Citrix Gateway 13.0 versiota 13.0-88.12 aiemmat versiot
  • Citrix ADC ja Citrix Gateway 12.1 versiota 12.1.65.21 aiemmat versiot
  • Citrix ADC 12.1-FIPS versiota 12.1-55.289 aiemmat versiot
  • Citrix ADC 12.1-NDcPP versiota 12.1-55.289 aiemmat versiot

Mistä on kysymys?

 Päivitä tuote versioon:

  • Citrix ADC ja Citrix Gateway 13.1-33.47 tai uudemmat versiot
  • Citrix ADC ja Citrix Gateway 13.0-88.12 ja 13.0 uudemmat versiot
  • Citrix ADC ja Citrix Gateway 12.1-65.21 ja 12.1 uudemmat versiot
  • Citrix ADC 12.1-FIPS 12.1-55.289 ja 12.1-FIPS uudemmat versiot
  • Citrix ADC 12.1-NDcPP 12.1-55.289 ja 12.1-NDcPP uudemmat versiot

Mitä voin tehdä?