Citrix hat heute ein neues Security Bulletin veröffentlicht. Es gibt zwei neue Schwachstellen in allen NetScaler Versionen, welche eine Denial of Service Attacke ermöglichen. Eine der Schwachstellen wurde mit dem Status «Critical» versehen, da sie sich ohne Authentifizierung vom Internet aus ausnutzen lässt.
| CVE-ID | Description | CWE | Affected Products | Pre-conditions | Criticality |
| CVE-2021-22955 | Unauthenticated denial of service | CWE-400: Uncontrolled Resource Consumption | Citrix ADC, Citrix Gateway | Appliance must be configured as a VPN (Gateway) or AAA virtual server | Critical |
| CVE-2021-22956 | Temporary disruption of the Management GUI, Nitro API and RPC communication | CWE-400: Uncontrolled Resource Consumption | Citrix ADC, Citrix Gateway, Citrix SD-WAN WANOP Edition | Access to NSIP or SNIP with management interface access | Low |
Was ist zu tun
Citrix stellt für alle supporteten Linien aktualisierte Versionen bereit:
- Citrix ADC and Citrix Gateway 13.1-4.43 and later releases of 13.1
- Citrix ADC and Citrix Gateway 13.0-83.27 and later releases of 13.0
- Citrix ADC and Citrix Gateway 12.1-63.22 and later releases of 12.1
- Citrix ADC and NetScaler Gateway 11.1-65.23 and later releases of 11.1
- Citrix ADC 12.1-FIPS 12.1-55.257 and later releases of 12.1-FIPS
Download unter https://www.citrix.com/downloads/citrix-adc.html
Zum Abdichten der Schwachstelle CVE-2021-22956 ist ausserdem eine manuelle Konfiguration notwendig, s. https://support.citrix.com/article/CTX331588
ACHTUNG:
Das Update von Firmware Versionen kleiner, oder gleich 12.1.59.x, bzw. 13.0.64.35 führt dazu, dass der SSO für viele Anwendungen nicht mehr funktioniert. Vor dem Update sollte daher unbedingt folgender Citrix eDocs Artikel gelesen werden: Enable SSO for Basic, Digest, and NTLM authentication (citrix.com)
In NetScaler 13.1.4.43 sind Classic Policies nicht mehr supportet. Vor einem Update auf 13.1.x sollte daher unbedingt eine vorherige Überprüfung der NetScaler Konfiguration durchgeführt werden, s. Classic Policy Deprecation FAQs