0x00背景介绍
Citrix是一家致力于云计算虚拟化、虚拟桌面和远程接入技术领域的公司,Citrix近日公开修复了一个网关路径遍历远程代码执行漏洞。0x01漏洞描述
CitrixADC/NetScaler Gateway设备,未经身份验证的攻击者可以查看vpns文件夹, 攻击者可以通过访问Web界面访问ADC所使用的ADC / NS IP或虚拟IP来利用此功能,而无需考虑许可或配置功能, 成功利用漏洞使攻击者可以远程代码执行。
0x02漏洞编号
CVE-2019-19781
0x03漏洞等级
0x04受影响版本
Citrix ADC和Citrix Gateway 13.0版本早于并包括内部版本41.20
Citrix ADC和NetScaler Gateway版本12.1早于并包括内部版本54.13
Citrix ADC和NetScaler Gateway版本12.0早于并包括内部版本62.8
Citrix ADC和NetScaler Gateway版本11.1早于并包括内部版本62.8
Citrix ADC和NetScaler Gateway版本10.5早于并包括内部版本70.5
0x05修复建议
下列版本的Citrix ADC和Citrix Gateway中已解决此漏洞:
Citrix ADC和Citrix Gateway 13.0版本内部版本41.28及更高版本
Citrix ADC和NetScaler Gateway版本12.1内部版本54.16及更高版本
Citrix ADC和NetScaler Gateway版本12.0内部版本62.10及更高版本
Citrix ADC和NetScaler Gateway版本11.1内部版本63.9及更高版本
Citrix ADC和NetScaler Gateway版本10.5内部版本70.8及更高版本
Citrix强烈建议受此漏洞影响的客户尽快升级到包含此问题修复程序的CitrixADC或Citrix Gateway版本。
这些版本可在Citrix网站上的以下地址获得:
https://www.citrix.com/downloads/citrix-adc/
https://www.citrix.com/downloads/citrix-gateway/
0x06支持热线
天融信公司后续将积极为用户提供技术支持,进行持续跟踪并及时通报进展。
获取支持联系方式如下:
拨打400-777-0777电话联系技术支持团队获得支持。
0x07声明
天融信阿尔法实验室拥有对此公告的修改和解释权,如欲转载,必须保证此公告的完整性。由于传播、利用此公告而造成的任何后果,均由使用者本人负责,天融信阿尔法实验室不为此承担任何责任。
天融信阿尔法实验室成立于2011年,一直以来,阿尔法实验室秉承“攻防一体”的理念,汇聚众多专业技术研究人员,从事攻防技术研究,在安全领域前瞻性技术研究方向上不断前行。作为天融信的安全产品和服务支撑团队,阿尔法实验室精湛的专业技术水平、丰富的排异经验,为天融信产品的研发和升级、承担国家重大安全项目和客户服务提供强有力的技术支撑。