[Englisch]In älteren Produkten von Citrix gibt es gravierende Schwachstellen, wie der Hersteller in einer Sicherheitswarnung bekannt gab. Sowohl der Citrix NetScaler ADC als auch das Citrix NetScaler Gateway sind von den Schwachstellen CVE-2023-4966 und CVE-2023-4967 betroffen. Ein Update ist dringend angeraten, inzwischen ist der Download wohl auch möglich.
Kurzer Nachtrag für Administratoren Citrix NetScaler ADC und NetScaler Gateway, da ist patchen angesagt. Mehrere Leser haben in Kommentaren und Mails auf Schwachstellen in diesen Produkten hingewiesen (danke dafür, ich konnte aber nicht früher reagieren, da ich unterwegs bin).
Citrix Sicherheitswarnung
Citrix hat zum 10. Oktober 2023 die Sicherheitswarnung CTX579459 (NetScaler ADC and NetScaler Gateway Security Bulletin for CVE-2023-4966 and CVE-2023-4967) herausgegeben. In NetScaler ADC (ehemals Citrix ADC) und NetScaler Gateway (ehemals Citrix Gateway) wurden mehrere Sicherheitslücken entdeckt. NetScaler ADC und NetScaler Gateway enthalten die folgenden, nicht authentifizierten Puffer-Schwachstellen:
- CVE-2023-4966: Sensitive information disclosure-Schwachstelle; CVSS Index 9,4;
- CVE-2023-4967: Denial of service-Schwachstelle; CVSS Index 8,2;
In beiden Fällen muss die Appliance zur Ausnutzung als Gateway (virtueller VPN-Server, ICA-Proxy, CVPN, RDP-Proxy) oder Virtueller AAA-Server konfiguriert sein. Die folgenden unterstützten Versionen von NetScaler ADC und NetScaler Gateway sind von den Sicherheitslücken betroffen:
- NetScaler ADC und NetScaler Gateway 14.1 vor 14.1-8.50
- NetScaler ADC und NetScaler Gateway 13.1 vor 13.1-49.15
- NetScaler ADC und NetScaler Gateway 13.0 vor 13.0-92.19
- NetScaler ADC 13.1-FIPS vor 13.1-37.164
- NetScaler ADC 12.1-FIPS vor 12.1-55.300
- NetScaler ADC 12.1-NDcPP vor 12.1-55.300
Betroffen sind nur vom Kunden verwaltete NetScaler ADC- und NetScaler Gateway-Produkte. Kunden, die von Citrix verwaltete Cloud-Dienste oder von Citrix verwaltete Adaptive Authentication verwenden, müssen keine Maßnahmen ergreifen.
Betroffene Kunden sind aufgefordert, entsprechenden aktualisierten Versionen von NetScaler ADC und NetScaler Gateway so bald wie möglich zu installieren:
- NetScaler ADC und NetScaler Gateway 14.1-8.50 und spätere Versionen
- NetScaler ADC und NetScaler Gateway 13.1-49.15 und spätere Versionen von 13.1
- NetScaler ADC und NetScaler Gateway 13.0-92.19 und spätere Versionen von 13.0
- NetScaler ADC 13.1-FIPS 13.1-37.164 und spätere Versionen von 13.1-FIPS
- NetScaler ADC 12.1-FIPS 12.1-55.300 und neuere Versionen von 12.1-FIPS
- NetScaler ADC 12.1-NDcPP 12.1-55.300 und neuere Versionen von 12.1-NDcPP
Ein Download sollte nun möglich sein. Ein Leser wies darauf hin, dass der Download des Patches 7-8 Stunden nicht möglich war, was auch auf reddit.com diskutiert wurde.
Citrix weist darauf hin, dass NetScaler ADC und NetScaler Gateway Version 12.1 jetzt End-of-Life (EOL) sind. Kunden wird empfohlen, ihre Appliances auf eine der unterstützten Versionen zu aktualisieren.
