Citrix发布安全隐患通知并提供修复方案
| 关于Citrix Gateway Plugin for Windows产品发布的安全隐患问题(CVE-2020-8257,CVE-2020-8258),思杰在发布的同时针对漏洞发布了修复版本。该漏洞必须具备相应复杂及复合条件才可被利用。到目前为止,并未发生中国用户被该漏洞攻击的报告。 官方链接如下:https://support.citrix.com/article/CTX282684 |
漏洞利用难度:困难
漏洞概述
| 在Citrix Gateway客户端插件Windows版本(Citrix Gateway Plug-in for Windows)发现漏洞,如被利用可导致在安装了CitrixGateway Plug-in for Windows的电脑上将本地Windows用户权限提升至SYSTEM级别,漏洞不直接影响Citrix ADC/Gateway。该漏洞只影响Citrix Gateway客户端插件Windows版本(Citrix Gateway Plug-in for Windows)。如果没有使用过CitrixADC/Gateway的SSL VPN功能,那么CitrixADC/Gateway将不会向Windows客户端分发CitrixGateway Plug-in。如果Windows客户端没有从其他来源安装过CitrixGateway Plug-in漏洞版本则不受该漏洞影响。其它操作系统平台的Citrix Gateway Plug-in不受该漏洞影响。 |
影响范围
使用Citrix Gateway或者Citrix ADC:
- CitrixGateway Plug-in 13.0 for Windows 64.35之前的版本
- CitrixGateway Plug-in 12.1 for Windows 59.16之前的版本
使用Citrix ADC FIPS:
- CitrixGateway Plug-in 12.1 for Windows 55.188之前的版本
应对措施及解决方案我司对上述漏洞安全风险高度重视,在获悉漏洞信息后第一时间启动紧急响应机制,并提供漏洞修复版本,可以通过升级最新软件版本避免遭受安全威胁。解决方案如下:1.升级Citrix Gateway客户端插件Windows版本(Citrix Gateway Plug-in for Windows)至最新修复版本。具体修复版本信息如下:使用Citrix Gateway或者Citrix ADC:
- CitrixGateway Plug-in 13.0 for Windows 64.35 and later versions
- CitrixGateway Plug-in 12.1 for Windows 59.16 and later versions
使用Citrix ADC FIPS:
- CitrixGateway Plug-in 12.1 for Windows 55.188 and later 12.1-55.X versions
Citrix GatewayPlug-in for Windows下载地址:https://www.citrix.com/downloads/citrix-gateway/plug-ins/netscaler-gateway-plug-in-clients-v121-5916.html
Citrix GatewayPlug-in for Windows版本查看方法:
2.升级Citrix ADC/Gateway软件版本至最新版本,包含了CitrixGateway Plug-in for Windows修复版本。升级Citrix ADC/Gateway软件版本后Windows客户端在使用Citrix GatewayPlug-in时会自动提示升级安装最新修复版本Citrix Gateway Plug-in forWindows。具体修复版本信息如下:
- CitrixADC and Citrix Gateway 13.0-64.35 and later releases
- NetScalerADC and NetScaler Gateway 12.1-59.16 and later releases
- CitrixADC 12.1 FIPS 55.188 and later releases
具体漏洞补丁修复事宜,请联系思杰工程师,或拨打400服务热线:4001200936。