Schwachstellen in Citrix' Presentation Server und Access Gateway
Citrix' Access Gateway gestattet unter Umständen nicht autorisierten Nutzern Zugriff, während der Presentation Server gelegentlich zu schwache Verschlüsselung nutzt und Anwendern ohne nötige Zugriffsrechte die Nutzung von Desktop-Sitzungen erlaubt.
Das Citrix Access Gateway kann unter Umständen nicht-autorisierten Nutzern Zugriff auf Netzwerkkomponenten gestatten, warnt der Hersteller. Zudem hat Citrix im Presentation Server Schwachstellen ausgemacht, durch die der Server zu schwache Verschlüsselung nutzt oder Benutzern eine Desktop-Sitzung gestattet, obwohl sie dazu nicht autorisiert sind.
In den Sicherheitsmeldungen verrät Citrix keine näheren Details zu den Schwachstellen. Lediglich Einschränkungen bezüglich verwundbarer Versionen sowie Links zu Software-Aktualisierungen finden sich darin. Der Presentation Server kann beispielsweise eine zu schwache Verschlüsselung nutzen, wenn als Verschlüsselunsgprotokoll SecureICA oder ICA Basic zum Einsatz kommen; SSL- oder TLS-Verschlüsselung hat dieses Problem nicht. Das Access Gateway weist die Schwachstelle nur in der Standard- und Advanced-Edition auf, während die Enterprise-Edition nicht betroffen ist. Das Unternehmen rät Nutzern der Software, die bereitgestellten Updates zügig einzuspielen.
Siehe dazu auch:
- Vulnerability in Access Gateway Standard Edition and Advanced Edition appliance firmware could result in authentication bypass, Sicherheitsmeldung von Citrix
- Vulnerability in Citrix Presentation Server could result in cryptographic settings not being correctly enforced, Fehlermeldung von Citrix
- Vulnerability in Citrix Presentation Server could allow authenticated users to gain unauthorized access to a desktop session, Sicherheitswarnung von Citrix
(dmk)
