【误差通告】Citrix多个误差清静通告

2020-07-13

综述

克日，Citrix宣布清静更新通告，体现已修复其Citrix ADC(以前称为NetScaler ADC)、Citrix Gateway?(以前称为NetScaler Gateway)和Citrix SD-WAN WANOP装备中的共11个误差。误差包括：

CVE ID	误差类型	受影响的产品	攻击者所需权限	条件条件
CVE-2019-18177	信息泄露	Citrix ADC，Citrix Gateway	经由身份验证的VPN用户	需要设置的SSL VPN端点
CVE-2020-8187	拒绝服务	仅Citrix ADC，Citrix Gateway 12.0和11.1	未经身份验证的远程用户	需要设置的SSL VPN或AAA端点
CVE-2020-8190	外地提权	Citrix ADC，Citrix Gateway	经由NSIP认证的用户	此问题不可直接被使用。攻击者必需首先使用其他误差来获得nobody的权限
CVE-2020-8191	反射型跨站剧本（XSS）	Citrix ADC，Citrix Gateway Citrix SDWAN WAN-OP	未经身份验证的远程用户	要求受害者在毗连到NSIP的网络中时必需在浏览器中翻开攻击者控制的链接
CVE-2020-8193	授权绕过	Citrix ADC，Citrix Gateway Citrix SDWAN WAN-OP	有权会见NSIP的未经身份验证的用户	攻击者必需能够会见NSIP
CVE-2020-8194	代码注入	Citrix ADC，Citrix Gateway Citrix SDWAN WAN-OP	未经身份验证的远程用户	要求受害者必需从NSIP下载并执行恶意二进制文件
CVE-2020-8195	信息泄露	Citrix ADC，Citrix Gateway Citrix SDWAN WAN-OP	经由NSIP认证的用户	--
CVE-2020-8196	信息泄露	Citrix ADC，Citrix Gateway Citrix SDWAN WAN-OP	经由NSIP认证的用户	--
CVE-2020-8197	特权提升	Citrix ADC，Citrix Gateway	经由NSIP认证的用户	--
CVE-2020-8198	存储型跨站剧本（XSS）	Citrix ADC，Citrix Gateway Citrix SDWAN WAN-OP	未经身份验证的远程用户	要求受害者以NSIP治理员（nsroot）身份登录
CVE-2020-8199	外地提权	适用于Linux的Citrix Gateway插件	运行Citrix Gateway插件的Linux盘算机上的外地用户	用于Linux的Citrix Gateway插件的预装置版本必需正在运行

现在监测到网络上已经有部分误差的细节，建议用户尽快升级举行防护。

Citrix ADC 是整体式和基于微服务的应用交付和负载平衡解决计划，Citrix SD-WAN WANOP 装备用于优化 WAN 链接。

参考链接：

https://support.citrix.com/article/CTX276688

受影响产品版本

Citrix ADC和Citrix Gateway < 13.0-58.30

Citrix ADC和NetScaler Gateway < 12.1-57.18

Citrix ADC和NetScaler Gateway < 12.0-63.21

Citrix ADC和NetScaler Gateway < 11.1-64.14

NetScaler ADC和NetScaler Gateway < 10.5-70.18

Citrix SD-WAN WANOP < 11.1.1a

Citrix SD-WAN WANOP < 11.0.3d

Citrix SD-WAN WANOP < 10.2.7

Citrix Gateway Plug-in for Linux < 1.0.0.137

不受影响版本

Citrix ADC和Citrix Gateway >= 13.0-58.30

Citrix ADC和NetScaler Gateway >= 12.1-57.18

Citrix ADC和NetScaler Gateway >= 12.0-63.21

Citrix ADC和NetScaler Gateway >= 11.1-64.14

NetScaler ADC和NetScaler Gateway 10.5-70.18

Citrix SD-WAN WANOP >= 11.1.1a

Citrix SD-WAN WANOP >= 11.0.3d

Citrix SD-WAN WANOP >= 10.2.7

Citrix Gateway Plug-in for Linux >= 1.0.0.137

解决计划

官方已为所有受支持的Citrix ADC，Citrix Gateway和Citrix SD-WAN WANOP宣布了修复版本。Citrix强烈建议客户连忙装置更新。

可从以下地点获取最新版本：

https://www.citrix.com/downloads/citrix-adc/ https://www.citrix.com/downloads/citrix-gateway/ https://www.citrix.com/downloads/citrix-sd-wan/

建议无法连忙更新到最新版本的客户确保限制对治理界面的会见，有关信息，请参考

https://docs.citrix.com/zh-cn/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html。

更多信息参考官方通告：

https://support.citrix.com/article/CTX276688

声明

本清静通告仅用来形貌可能保存的清静问题，AG公司科技不为此清静通告提供任何包管或允许。由于撒播、使用此清静通告所提供的信息而造成的任何直接或者间接的效果及损失，均由使用者自己认真，AG公司科技以及清静通告作者不为此肩负任何责任。AG公司科技拥有对此清静通告的修改息争释权。如欲转载或撒播此清静通告，必需包管此清静通告的完整性，包括版权声明等所有内容。未经AG公司科技允许，不得恣意修改或者增减此清静通告内容，不得以任何方法将其用于商业目的。