DFN-CERT

Advisory-Archiv

2019-2658: Citrix Application Delivery Controller (ADC), Citrix Gateway: Eine Schwachstelle ermöglicht das Ausführen beliebigen Programmcodes

Historie:

Version 1 (2019-12-17 16:11)
Neues Advisory
Version 2 (2020-01-13 09:46)
Es wurden Exploits veröffentlicht und die Schwachstelle CVE-2019-19781 wird seit dem Wochenende KW 02 aktiv ausgenutzt. Bitte setzen Sie die vom Hersteller empfohlene Mitigation zeitnah um.
Version 3 (2020-01-13 10:12)
Citrix aktualisiert den referenzierten Sicherheitshinweis CTX267027 und kündigt an, dass für verschiedene Versionszweige von Citrix ADC und Citrix Gateway ab dem 20.01.2020 Sicherheitsupdates bereitgestellt werden. Im einzelnen sind dies die Refresh Builds 10.5.70.x (Veröffentlichung am 31.01.), 11.1.63.x (20.01.), 12.0.63.x (20.01.), 12.1.55.x (27.01.) und 13.0.47.x (27.01.). Da die Schwachstelle bereits aktiv ausgenutzt wird, sollte der vom Hersteller empfohlene Workaround dennoch sofort umgesetzt werden.
Version 4 (2020-01-20 17:04)
Für Citrix ADC und Citrix Gateway Version 11.1 und 12.0 stehen mittlerweile Sicherheitsupdates auf die Versionen 11.1 Build 63.15 und 12.0 Build 63.13 bereit, um die Schwachstelle zu beheben. Für weitere Versionen sind Sicherheitsupdates für den 24.01.2020 angekündigt.
Version 5 (2020-01-27 12:26)
Für Citrix ADC und Citrix Gateway stehen nun auch in den Versionszweigen 10.5, 12.1 und 13.0 Sicherheitsupdates auf die Versionen 10.5 Build 70.12, 12.1 Build 55.18 und 13.0 Build 47.24 bereit, um die Schwachstelle zu beheben.

Betroffene Software

Middleware
Systemsoftware

Betroffene Plattformen

Hardware
Netzwerk

Beschreibung:

Ein vermutlich entfernter, nicht authentisierter Angreifer kann eine Schwachstelle in Citrix Application Delivery Controller und Citrix Gateway ausnutzen, um beliebigen Programmcode zur Ausführung zu bringen.

Citrix bestätigt die Schwachstelle und bietet einen Workaround an, hat aber momentan (noch) keine Sicherheitsupdates bereitgestellt.

Schwachstellen:

CVE-2019-19781

Schwachstelle in Citrix Application Delivery Controller (ADC) und Citrix Gateway ermöglicht Ausführen beliebigen Programmcodes

© DFN-CERT Services GmbH, all rights reserved!
Bei einer Weitergabe der Informationen außerhalb dieser Webseite ist auf den Ursprung in angemessener Weise hinzuweisen.
Im Übrigen gelten die Bestimmungen zum Copyright für diese Webseite.