Citrix ADC 13.0-67.43 Release
发行日期:2020年11月20日
重要事项:
内部版本13.0-67.43 和更高版本的内部版本解决了以下内容中描述的安全漏洞
https://support.citrix.com/article/CTX281474
https://support.citrix.com/article/CTX282684
有关增强功能和已知问题的列表,请参阅 发行说明Citrix ADC 13.0-67.43
有关该版本的详细文档,请参阅 Citrix ADC 13.0。
从Citrix ADC功能版本13.0 build 67.43及更高版本开始,全局禁用了以下SSO类型。
- 基本认证
- 摘要访问认证
- 没有协商NTLM2密钥或协商符号的NTLM
升级之前,请按照本文档进行SSO配置更改。
https://docs.citrix.com/zh-CN/citrix-adc/13/aaa-tm/enable-sso-for-auth-pol.html
支持的Citrix ADC平台:
请注意:
- Citrix Secure Web Gateway需要其自己的平台许可证。请与您当地的Citrix销售代表联系以购买许可证。
==========
13.0-67.43(功能阶段)
适用于Citrix Hypervisor 13.0 Build 67.43的Citrix ADC VPX
- SHA-256-45053fbef0e802b6fdfe20ebcc2bfeefa26804baaafa111db7a3f07cc6ba5e28
适用于ESXi 13.0 Build 67.43的Citrix ADC VPX
- SHA-256-3dfe76c05b18ddaf1efc43a44effaba0106f0f17a342d77828661e16e4e474cd
适用于Hyper-V 13.0 Build 67.43的Citrix ADC VPX
- SHA-256-c923e49753e7a647c92c031de0e315545d72df96c06063d8080a27d080e3df28
适用于KVM 13.0 Build 67.43的Citrix ADC VPX
- SHA-256-27ed81795f3af3078cb875966b5b7c11019e2f547724f75f1bb6fe72023f58c3
用于GCP 13.0 Build 67.43的Citrix ADC VPX
- SHA-256-7fb3839ad08bc7b403141a79ebdc7cdf76a40476465437bdf4196422db0adefa
==========
Citrix Application Delivery Controller,Citrix网关和Citrix SD-WAN WANOP设备安全更新
来源 https://support.citrix.com/article/CTX281474
问题描述
在Citrix ADC(以前称为NetScaler ADC),Citrix网关(以前称为NetScaler Gateway)和Citrix SD-WAN WANOP设备模型4000-WO,4100-WO,5000-WO和5100-WO中发现了多个漏洞。如果利用这些漏洞,可能会导致以下安全问题:
|
CVE ID |
描述 |
漏洞类型 |
受影响的产品 |
前提条件 |
|
CVE-2020-8245 |
针对SSL VPN网站门户的HTML注入攻击 |
CWE-79:网页生成过程中输入的不适当中和 |
Citrix ADC,Citrix网关 |
在SSL VPN网站上需要经过身份验证的受害者,该受害者必须在浏览器中打开攻击者控制的链接 |
|
CVE-2020-8246 |
来自管理网络的拒绝服务攻击 |
CWE-400:不受控制的资源消耗 |
Citrix ADC,Citrix网关,Citrix SDWAN WAN-OP |
未经身份验证的攻击者,可以访问管理网络 |
|
CVE-2020-8247 |
管理界面上的特权升级 |
CWE-269:权限管理不当 |
Citrix ADC,Citrix网关,Citrix SDWAN WAN-OP |
攻击者必须拥有特权才能在管理界面上执行任意命令 |
在以下受支持的版本中解决了该漏洞:
- Citrix ADC和Citrix Gateway 13.0-64.35及更高版本
- Citrix ADC和NetScaler Gateway 12.1-58.15及更高版本
- Citrix ADC 12.1-FIPS 12.1-55.187及更高版本
- Citrix ADC和NetScaler Gateway 11.1-65.12及更高版本
- Citrix SD-WAN WANOP 11.2.1a和更高版本
- Citrix SD-WAN WANOP 11.1.2a和更高版本
- Citrix SD-WAN WANOP 11.0.3f及更高版本
- Citrix SD-WAN WANOP 10.2.7b及更高版本
客户应注意,已达到维护终止期限的Citrix ADC和Citrix Gateway 12.0受这些漏洞的影响。Citrix建议使用此版本的客户升级到解决这些问题的更高版本。
此外,以上版本的Citrix ADC,Citrix网关和Citrix SD-WAN WANOP中已添加了安全增强功能,以帮助保护客户免受HTTP Request Smuggling攻击。客户可以使用Citrix ADC管理界面启用这些增强功能。 有关更多信息,请参阅https://support.citrix.com/article/CTX282268。
缓解因素
这三个漏洞中的两个源自Citrix ADC,Citrix Gateway和Citrix SD-WAN WANOP的管理界面。Citrix强烈建议将到设备管理界面的网络流量从物理或逻辑上与正常网络流量分开。这样做大大降低了剥削的风险。有关更多信息,请参阅https://docs.citrix.com/zh-cn/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html。
客户应该做什么
已发布适用于Citrix ADC,Citrix Gateway和Citrix SD-WAN WANOP版本的固定版本。Citrix建议受影响的客户在修补计划允许后尽快安装这些更新。
最新的构建可以从以下地址下载https://www.citrix.com/downloads/citrix-adc/,https://www.citrix.com/downloads/citrix-gateway/和https://www.citrix.com / downloads / citrix-sd-wan /
致谢
Citrix感谢F-Secure的Knud,对手仿真团队的Arsenii Pustovit(加拿大皇家银行),SySS GmbH的Moritz Bechler,瑞典Wisearc Advisors的Johan Georges,EY Consulting的Vasilis Maritsas,成员Juan JuanOrdoñezNoriega, RedTeam CSIETE和Ricardo Iramar Dos Santos的团队与我们合作保护了Citrix客户。
==========
适用于Windows的Citrix Gateway插件安全更新
来源 https://support.citrix.com/article/CTX282684
问题描述
在Windows的Citrix Gateway插件中已发现漏洞,如果加以利用,则可能导致本地用户将其特权级别提升为SYSTEM。
漏洞具有以下标识符:
- CVE-2020-8257
- CVE-2020-8258
这些漏洞影响以下受支持的Windows Citrix网关插件版本:
拥有Citrix ADC或Citrix Gateway的客户:
- 适用于Windows的Citrix Gateway插件13.0 64.35之前的版本
- 适用于Windows的Citrix Gateway插件12.1 59.16之前的版本
拥有Citrix ADC 12.1-FIPS的客户:
- 适用于Windows的Citrix Gateway插件12.1 55.190之前
这些漏洞不会影响其他平台上的Citrix Gateway插件。
适用于Windows 11.1的Citrix Gateway插件不受这些漏洞的影响。其他版本现已停产,不再受支持。
下列受支持的Citrix ADC版本(以前称为NetScaler ADC)和Citrix Gateway(以前称为NetScaler Gateway)包括受影响的Citrix Gateway插件版本,以便在用户连接到Citrix Gateway时将其分发给用户:
- 64.35之前的Citrix ADC和Citrix Gateway 13.0
- 在59.16之前的NetScaler ADC和NetScaler Gateway 12.1
- Citrix ADC 12.1-FIPS在55.190之前
客户应该做什么
Citrix强烈建议:
具有Citrix Gateway的客户和使用Citrix ADC的SSL VPN组件的客户将升级到包含并分发Citrix Gateway Plug-in Windows固定版本的版本。
和
如果客户的用户使用的Windows Citrix Gateway插件版本易受攻击,请确保他们尽快升级到Windows的Citrix Gateway插件固定版本。当他们登录到Citrix ADC或Citrix Gateway的受支持版本或通过从Citrix.com安装兼容的固定版本时,可以实现此目的。
以下版本的Windows Citrix Gateway插件已解决了这些问题:
拥有Citrix ADC或Citrix Gateway的客户:
- 适用于Windows 64.35和更高版本的Citrix Gateway插件13.0
- 适用于Windows 59.16和更高版本的Citrix Gateway插件12.1
拥有Citrix ADC 12.1-FIPS的客户:
- 适用于Windows 55.190和更高版本的Citrix Gateway插件12.1
适用于Windows的Citrix Gateway插件的最新版本可从以下网站获得:
https://www.citrix.com/downloads/citrix-gateway/plug-ins/
请注意,与Citrix ADC 12.1-FIPS兼容的Citrix Gateway插件版本直接从Citrix ADC 12.1-FIPS交付,而Citrix.com不提供。
下列版本的Citrix ADC和Citrix Gateway中包含用于Windows的Citrix Gateway插件的固定版本:
- Citrix ADC和Citrix Gateway 13.0-64.35及更高版本
- NetScaler ADC和NetScaler Gateway 12.1-59.16及更高版本
- Citrix ADC 12.1-FIPS 55.190及更高版本
可从以下位置获得最新版本的Citrix ADC和Citrix Gateway:
致谢
Citrix感谢Cymptom(@chen_erlich)的Chen Erlich与我们合作保护Citrix客户。
=========== End