Momentan gibt es mehrere Meldungen durch Security Scanner, dass über NetScaler publizierte Webseiten vom Ripple20 Vulnerability betroffen sind.
Citrix ADC Produkte (NetScaler, ADM, SDX) sind nicht betroffen von der Schwachstelle welche als «Ripple20» publiziert wurde.
Mehr Informationen sind im folgenden Citrix Artikel zu finden: https://support.citrix.com/article/CTX279769
Mehrere Schwachstellen wurden in Citrix ADC (früher bekannt als NetScaler ADC), Citrix Gateway (früher bekannt als NetScaler Gateway) und Citrix SD-WAN WANOP Appliance-Modelle 4000-WO, 4100-WO, 5000-WO und 5100-WO entdeckt. Diese Schwachstellen können, wenn sie ausgenutzt werden, zu den folgenden Sicherheitsproblemen führen:
| CVE ID | Description | Vulnerability Type | Affected Products | Pre-conditions |
| CVE-2020-8245 | An HTML Injection attack against the SSL VPN web portal | CWE-79: Improper Neutralization of Input During Web Page Generation | Citrix ADC, Citrix Gateway | Requires an authenticated victim on the SSL VPN web portal who must open an attacker-controlled link in the browser |
| CVE-2020-8246 | A denial of service attack originating from the management network | CWE-400: Uncontrolled Resource Consumption | Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP | Unauthenticated attacker with access to the management network |
| CVE-2020-8247 | Escalation of privileges on the management interface | CWE-269: Improper Privilege Management | Citrix ADC, Citrix Gateway, Citrix SDWAN WAN-OP | An attacker must possess privilege to execute arbitrary commands on the management interface |
Die Schwachstellen werden in den folgenden unterstützten Versionen behoben:
Zusätzlich wurden den oben genannten Versionen von Citrix ADC, Citrix Gateway und Citrix SD-WAN WANOP Sicherheitsverbesserungen hinzugefügt, um Kunden vor Angriffen durch HTTP Request Smuggling zu schützen. Kunden können diese Verbesserungen über die Verwaltungsschnittstelle von Citrix ADC aktivieren. Weitere Informationen finden Sie unter https://support.citrix.com/article/CTX282268.
Zwei der drei Schwachstellen haben ihren Ursprung in der Verwaltungsschnittstelle von Citrix ADC, Citrix Gateway und Citrix SD-WAN WANOP. Citrix empfiehlt dringend, den Netzwerkverkehr zur Verwaltungsschnittstelle der Appliance entweder physisch oder logisch vom normalen Netzwerkverkehr zu trennen. Auf diese Weise wird das Risiko der Ausnutzung stark vermindert. Weitere Informationen finden Sie unter https://docs.citrix.com/en-us/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html.
Installieren Sie so schnell wie möglich ein der veröffentlichten Updates.
Haben Sie Fragen oder benötigen Hilfe? Kontaktieren Sie uns, wir helfen Ihnen gerne weiter.
Citrix beschreibt in einem Knowledge Base Artikel, dass alle Workspace App und Receiver Versionen vor 1912 von zwei Sicherheitslücken betroffen sind. Mit diesen kann sich ein Angreifer erhöhte Rechte geben und so das lokale System übernehmen.
Im Folgenden werden diese beiden Lücken genauer beschrieben:
CVE-2020-13884: Citrix Workspace App before 2006.1 on Windows has Insecure Permissions for %PROGRAMDATA%\Citrix (and an unquoted UninstallString), which allows local users to gain privileges by copying a malicious citrix.exe there.
CVE-2020-13885: Citrix Workspace App before 2006.1 on Windows has Insecure Permissions for «%PROGRAMDATA%\Citrix\Citrix Workspace ####\» which allows local users to gain privileges by copying a malicious webio.dll there.
Diese Schwachstellen betreffen nur Windows Clients.
Citrix hat dazu diesen Artikel veröffentlicht: https://support.citrix.com/article/CTX275460
Die neuste Version vom Workspace App kann unter diesem Link heruntergeladen werden: https://www.citrix.com/downloads/workspace-app/windows/workspace-app-for-windows-latest.html
Personalisierte Themes die auf RfWebUI basieren funktionieren nach dem Upgrade auf die Builds 13.0-47.22 und 13.0-47.24 nicht mehr.
Neu erstellte und nicht RfWebUI-basierte benutzerdefinierte Themen haben keine Probleme.
Dieses Problem wird in der nächsten MR-Version für 13.0 behoben werden.
Bitte befolgen Sie einen der aufgeführten Woekaround, um dieses Problem zu beheben.
Führen Sie folgenden Befehl für jedes RfWebUI-basierte Them aus:
ln –s /var/netscaler/logon/LogonPoint/index.html /var/netscaler/logon/themes/<CustomThemeName >/index.html
ln –s /var/netscaler/logon/LogonPoint/tmindex.html /var/netscaler/logon/themes/<CustomThemeName >/tmindex.htmlWenn es viele benutzerdefinierte Themen gibt, kann das folgende Skript ausgeführt werden, so dass alle benutzerdefinierten Themen in einem Rutsch fixiert werden. Kopieren Sie das Skript auf Citrix ADC und führen Sie es mit dem folgenden Befehl aus:
shell# python fix_RfWebUI_CustomThemes.py
Letzte Aktualisierung: Samstag-25.1.2020 – 20:15
Version: 1.0
Die Fixes sind für alle Citrix ADC/Gateway Virtual Appliances (VPX, und Citrix ADC Service Delivery Appliances (SDX) verfügbar.
Seit Freitag ebenfalls verfügbar:
Alle Versionen können unter diesem Link heruntergeladen werden: