Citrix Access Gateway örökség hitelesítés parancs befecskendezés sérülékenység

CH azonosító

CH-4093

Angol cím

Citrix Access Gateway Legacy Authentication Command Injection Vulnerability

Felfedezés dátuma

2010.12.14.

Súlyosság

Magas

Érintett rendszerek

Access Gateway
Citrix

Érintett verziók

Citrix Access Gateway 4.x
Citrix Access Gateway 8.x
Citrix Access Gateway 9.x

Összefoglaló

A Citrix Access Gateway olyan sérülékenysége vált ismertté, amelyet a támadók kihasználhatnak a sérülékeny rendszer feltörésére.

Leírás

A sérülékenységet nem részletezett hiba okozza az NT4 hitelesítési komponensben, amelyet az Access Gateway Enterprise-t használ valamint az NTLM hitelesítési komponensben, amelyet az Access Gateway Standard Edition használ.
Ez “root” felhasználói jogosultsággal kihasználható tetszőleges parancsok befecskendezésére és futtatására.

A sérülékenység a következő termékeket érinti:

  • Access Gateway 4.5 Advanced Edition
  • Access Gateway 4.5 Standard Edition
  • Access Gateway 4.6 Advanced Edition
  • Access Gateway 4.6 Standard Edition
  • Access Gateway 8.0 Enterprise Edition
  • Access Gateway 8.1 Enterprise Edition
  • Access Gateway 9.0 Enterprise Edition
  • Access Gateway 9.1 Enterprise Edition
  • Access Gateway 9.2 Enterprise Edition
  • Access Gateway VPX 4.6

Megoldás

A gyártó elavultattá nyilvánította az érintett hitelesítési eljárást. Váltson más hitelesítési eljárásra.