Citrix dichtet kritisches Leck in Netscaler ab
In Netscaler ADC und Gateway klaffen Sicherheitslücken, ebenso im Hypervisor von Citrix. Aktualisierte Software-Pakete schließen sie.
(Bild: Alfa Photo/Shutterstock.com)
Citrix warnt vor mehreren Sicherheitslücken in Netscaler ADC und Gatway (ehemals Citrix ADC und Gateway) sowie im Hypervisor. Die Programmierer des Unternehmens haben aktualisierte Software bereitgestellt, die die Lücken schließen soll. Ein zügiges Update ist dem Hersteller zufolge angeraten.
In Netscaler ADC und Gateway schließt Citrix zwei Schwachstellen. Die Umschreibung ist sehr nebulös, es handele sich um "unauthentifizierte, Puffer-bezogene Schwachstellen", schreiben die Entwickler von Citrix in der Sicherheitsmeldung. Sofern die Appliance als AAA-Virtual-Server oder als virtueller VPN-Server, ICA-Proxy, CVPN oder RDP-Proxy konfiguriert ist, können die Lücken vertrauliche Informationen preisgeben (CVE-2023-4966, CVSS 9.4, Risiko "kritisch") oder zu einem Denial-of-Service führen (CVE-2023-4967, CVSS 8.2, hoch).
Citrix: Lücken in Netscaler und Hypervisor
Im Hypervisor Citrix Hypervisor 8.2 CU1 LTSR habe man zudem mehrere Schwachstellen entdeckt. AMD-basierte Hosts lassen sich durch ein in die VM durchgereichtes PCI-Gerät kompromittieren (CVE-2023-34326). Ein Host kann kompromittiert werden, wenn Administratoren eine bestimmte Option ("Restore Virtual Machine Metatdata" unter "Backup, Restore and Update") nutzen (CVE-2022-1304). Der Host kann abstürzen oder nicht mehr reagieren (CVE-2023-34324) oder andere VMs, die auf einem AMD-basierten Hostsystem laufen, abstürzen (CVE-2023-34327). Ein Seitenkanalangriff auf AMD-CPUs, der zur Preisgabe von Informationen aus anderen VMs führen kann, die auf demselben CPU-Kern laufen, haben die Entwickler ebenfalls mit aktualisiertem Code unterbunden (CVE-2023-20588).
Die Versionen NetScaler ADC und NetScaler Gateway 14.1-8.50, 13.1-49.15, 13.0-92.19 sowie NetScaler ADC 13.1-FIPS 13.1-37.164 oder 12.1-55.300 und NetScaler ADC 12.1-NDcPP 12.1-55.300 und neuere Versionen korrigieren die Fehler. Citrix weist darauf hin, dass Netscaler ADC und Gateway 12.1 am End-of-Lifecycle angekommen sind und IT-Verantwortliche auf neuere, noch unterstütze Versionen aktualisieren sollen. Für den anfälligen Citrix Hypervisor 8.2 CU1 LTSR stellt der Hersteller mehrere Hotfixes bereit, die er in der Sicherheitsmeldung verlinkt.
IT-Verantwortliche mit Citrix-Installationen scheinen Updates nur sehr zögerlich anzuwenden. So wurde Mitte Juli eine kritische Sicherheitslücke in Netscaler ADC und Gateway bekannt. Am Ende des Monats waren jedoch noch 15.000 verwundbare Systeme im Netz erreichbar.
(dmk)
