描述:
Citrix ADC 及 Citrix Gateway被发现一个漏洞。未经身份验证的远程攻击者可以向受影响的系统发送特制指令,从而攻击此漏洞。
用户应立即采取行动修补受影响的Citrix Application Delivery Controller(ADC)及 Citrix Gateway(以前被称为NetScaler ADC和NetScaler Gateway)中的严重漏洞(CVE-2019-19781)。由于针对该漏洞的概念验证和完全可行的程式码已被公开,攻击者及研究人员正积极扫描易受攻击的系统。含有漏洞的系统受到攻击的风险将会提升。
受影响的系统:
- Citrix ADC 及 Citrix Gateway 13.0 版本
- Citrix ADC 及 NetScaler Gateway 12.1 版本
- Citrix ADC 及 NetScaler Gateway 12.0 版本
- Citrix ADC 及 NetScaler Gateway 11.1 版本
- Citrix NetScaler ADC 及 NetScaler Gateway 10.5 版本
影响:
成功利用这个漏洞可以在受影响系统导致执行任意程式码。
建议:
Citrix 尚未发布相关修补程式来解决该漏洞,但可以使用临时解决方法。即使只是临时解决方法,受影响系统的用户也应立即应用,以减低遭受潜在网络攻击的可能性。临时解决方法的详情:
https://support.citrix.com/article/CTX267679
Citrix 宣布了所有受支援的 Citrix ADC 及 Citrix Gateway 版本的修补程式的预计发布日期。预计所有修补程式都将在2020年1月底之前发布。
- 10.5 版本
10.5.70.x 的预计发布日期: 31.1.2020
- 11.1 版本
11.1.63.x 的预计发布日期: 20.1.2020
- 12.0 版本
12.0.63.x 的预计发布日期: 20.1.2020
- 12.1 版本
12.1.55.x 的预计发布日期: 27.1.2020
- 13.0 版本
13.0.47.x 的预计发布日期: 27.1.2020
进一步信息:
https://support.citrix.com/article/CTX267027
https://support.citrix.com/article/CTX267679
https://www.us-cert.gov/ncas/current-activity/2020/01/08/citrix-application-delivery-controller-and-citrix-gateway
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2019-19781