Citrix - CVE-2023-4966
Date de publication :
Date de mise à jour :
Un défaut de contrôle de la mémoire dans NetScaler ADC et NetScaler Gateway permet à un attaquant distant, si ces produits sont configurés en passerelle ou en serveur virtuel AAA, de porter atteinte à la confidentialité et l’intégrité des données.
Informations
La faille est activement exploitée : Oui
Un correctif existe : Oui
Une mesure de contournement existe : Non
Atteinte à la confidentialité des données
Atteinte à l’intégrité des données
Exploitation
La vulnérabilité exploitée est du type
CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Faible
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Non
Preuve de concept
Une preuve de concept est disponible en sources ouvertes.
Systèmes ou composants affectés
NetScaler ADC et NetScaler Gateway 14.1 version antérieure à 14.1-8.50
NetScaler ADC et NetScaler Gateway 13.1 version antérieure à 13.1-49.15
NetScaler ADC et NetScaler Gateway 13.0 version antérieure à 13.0-92.19
NetScaler ADC 13.1-FIPS version antérieure à 13.1-37.164
NetScaler ADC 12.1-FIPS version antérieure à 12.1-55.300
NetScaler ADC 12.1-NDcPP version antérieure à 12.1-55.300
Contournement provisoire
Ces produits ne sont vulnérables que s’ils sont configurés comme passerelles (serveur virtuel VPN, proxy ICA, CVPN, proxy RDP) ou en serveur virtuel AAA.
Solutions ou recommandations
Mettre à jour NetScaler ADC et NetScaler Gateway 14.1 vers la version 14.1-8.50.
Mettre à jour NetScaler ADC et NetScaler Gateway 13.1 vers la version 13.1-49.15.
Mettre à jour NetScaler ADC et NetScaler Gateway 13.0 vers la version 13.0-92.19.
Mettre à jour NetScaler ADC 13.1-FIPS vers la version 13.1-37.164.
Mettre à jour NetScaler ADC 12.1-FIPS vers la version 12.1-55.300.
Mettre à jour NetScaler ADC 12.1-NDcPP vers la version 12.1-55.300.
Note : NetScaler ADC et NetScaler Gateway version 12.1 arrivent en fin de vie et ne sont plus pris en charge.
Des informations complémentaires sont disponibles dans le bulletin de Citrix.