Citrix patcht Access Gateways
Citrix hat mehrere Fehler in seinem Access Gateway gemeldet, mit der Angreifer vertrauliche Daten ausspähen und Anwender-System unter ihre Kontrolle bringen können
Citrix hat mehrere Fehler in seinen Access Gateways gemeldet, mit der Angreifer vertrauliche Daten ausspähen und Anwender-Systeme unter ihre Kontrolle bringen können. So finden sich im Access Gateway Standard Edition 4.5.2 und vorherigen Versionen sowie im Access Gateway Advanced Editions Version 4.5 mit Firmware 4.5.2 nicht näher beschriebene Lücken in einem ActiveX-Control und einem Firefox-Plug-in (Net6Helper.DLL und npCtxCAO.dll), über die sich Code in einen PC schleusen und starten lässt.
Darüber hinaus weisen die Access-Gateway-2000-Modelle mit Firmware 4.5.2 eine Schwachstelle in der webbasierten Administrationsoberfläche auf, mit der sich Einstellungen ohne Authentifizierung vornehmen lassen. Zuletzt speichert die Software einige Anmeldeinformationen auf dem Client, mit der ein Angreifer aktive Session übernehmen kann. Der Hersteller empfiehlt Anwendern, Version 4.5.5 der Firmware zu installieren, um das Problem zu beheben (Hotfix AG2000_v455 - Access Gateway Standard Edition 4.5, Hotfix AAC450W001 - For Access Gateway Advanced Edition 4.5). Zudem rät Citrix dringend, die Dateien Net6Helper.DLL und npCtxCAO.dll vom Rechner zu löschen. Letztere findet sich zweimal auf dem Rechner. Nähere Angaben dazu sind dem Original-Fehlerbericht zu entnehmen.
Siehe dazu auch:
- Vulnerabilities in Access Gateway Advanced Edition could result in information disclosure and session hijacking Fehlerbericht von Citrix
- Vulnerabilities in Access Gateway Standard and Advanced Editions clients could result in arbitrary code execution Fehlerbericht von Citrix
- Vulnerabilities in Access Gateway Advanced Edition could allow redirection to arbitrary web sites Fehlerbericht von Citrix
- Vulnerabilities in Access Gateway Standard and Advanced Edition could allow unauthorized configuration changesFehlerbericht von Citrix
(dab)
