Citrix CVE-2020-8269 und -8270

Veröffentlicht : November 12, 2020

Citrix hat eine Veröffentlichung mit zwei CVEs für Komponenten des Citrix VDA sowie der Citrix Universal Printserver Komponente bekanntgegeben.

Sowohl das BSI als auch Citrix kategorisieren die Sicherheitslücke mit der Priorität "hoch".

Betroffen sind folgende Produktversionen:

  • Citrix Virtual Apps and Desktops 2006 oder frühere Versionen
  • Citrix Virtual Apps and Desktops 1912 LTSR CU1 oder frühere Versionen von 1912 LTSR
  • Citrix XenApp / XenDesktop 7.15 LTSR CU6 oder frühere Versionen von 7.15 LTSR
  • Citrix XenApp / XenDesktop 7.6 LTSR CU8 oder frühere Versionen von 7.6 LTSR

Citrix hat die Veröffentlichung und Kompatibilität der Hotfixes auf die o.g. LTSR-Versionen mit dem jeweils aktuellsten kumulativen Update beschränkt.

Die notwendigen Voraussetzungen unterscheiden sich wie folgt:

Current Release Versionen: Update VDA auf 2009

LTSR Version 1912: Mindestens CU1 + Hotfixes für die betroffenen VDA-Komponenten, sofern installiert

LTSR Version 7.15: Mindestens CU6 + Hotfixes für die betroffenen VDA-Komponenten, sofern installiert

LTSR Version 7.6: Mindestens CU9

Weitere Details zu den Veröffentlichungen finden Sie über folgende Ressourcen:

Citrix Artikel
https://support.citrix.com/article/CTX285059

BSI Warnmeldung
https://bit.ly/2OY71on

Gemäß den Informationen, welche den Links aus o.g. Quellen entnommen werden können, wird empfohlen die betroffenen Citrix Komponenten zu aktualisieren.

Weitere Beiträge

Schwachstellen in Citrix NetScaler - CVE-2022-27510, CVE-2022-27513 und CVE-2022-27516

Citrix hat Details zu mehreren Schwachstellen (CVE-2022-27510, CVE-2022-27513 und CVE-2022-27516) in Citrix NetScaler (ADC) veröffentlicht und Fixes bereitgestellt, welche die betroffene Lücke schließen. Es sind Appliances betroffen, welche als Citrix Gateway konfiguriert sind. Die Schwachstelle “CVE-2022-27510” ermöglicht es, die Authentifizierung zu umgehen und Zugriff auf Funktionen zu erhalten, welche sonst nur einem angemeldeten Gateway Benutzer zur Verfügung stehen. Nach aktueller Informationslage würde dies einen VPN-Tunnel miteinschließen.

Artikel lesen
Schwachstelle in Microsoft Exchange - CVE-2022-41040 & CVE-2022-41082

Microsoft hat Details zu den Schwachstellen (CVE-2022-41040 & CVE-2022-41082) in Microsoft Exchange Servern veröffentlicht. Der Hersteller empfiehlt, entsprechende Anfragen durch eine manuelle Konfigurationsänderung (IIS Rewrite) zu blockieren.
Über die Schwachstelle CVE-2022-41040 ist es einem authentifizierten Angreifer möglich, die Schwachstelle CVE-2022-41082 auszulösen. Diese bietet wiederum die Möglichkeit zur Ausführung von Schadcode.

Artikel lesen
Sicherheitslücken und Performance Probleme in Imprivata OneSign und Confirm ID

Imprivata hat Informationen zu einer Sicherheitslücke veröffentlicht, welche mit einer CVSS "hoch" eingestuft wurde. Maßgeblich betroffen ist der OneSign Agent für Windows.

Artikel lesen
Schwachstelle IGEL: ISN 2022-01 - Polkit Escalation of Privilege

IGEL hat kritische "Common Vulnerabilities and Exposures" (CVE) bekanntgegeben. Der Hersteller kategorisiert die aktuelle Sicherheitslücke mit der Priorität "hoch" - CVSS 3.1 Base Score: 7.8 von 10.0 (high)

Artikel lesen
Aktuelle CVE / Sicherheitsthemen zum Jahresende

Seit einiger Zeit halten täglich neue Nachrichten über die Schwachstelle, die unter anderem als Log4Shell bekannt ist, die IT-Welt in Schach.
Gerne geben wir Ihnen ein kurzes Update zu einigen Systemen, die für Sie interessant sein dürften.

Artikel lesen
Upgrade auf ControlUp 8.5.x dringend empfohlen

ControlUp verbessert kontinuierlich die Sicherheitsmechanismen seiner gesamten Software-Plattform. Dies beinhaltet sowohl den CU-Monitor, die CU-Console und die CU-Agents, als auch alle Backendsysteme. 
Um sicherzustellen, dass Sie auch in Zukunft vollständig geschützt sind, wurden weitere Verschlüsselungsoptimierungen vorgenommen.

Artikel lesen
Schwachstelle am IGEL Cloud Gateway - ISN 2021-08

IGEL hat kritische "Common Vulnerabilities and Exposures" (CVE) bekanntgegeben.
Der Hersteller kategorisiert die Sicherheitslücke mit der Priorität "hoch" - CVSS 3.1 Base Score: 10.0 von 10.0 (critical).
IGEL empfiehlt, umgehend auf ICG 2.04.100 zu aktualisieren.

Artikel lesen
Schwachstelle in Microsoft Exchange Server: CVE-2021-42321

Microsoft hat kritische "Common Vulnerabilities and Exposures" (CVE)  bekanntgegeben. Es geht um kritische Schwachstellen am Exchange Server. Entsprechend des Scoring Standards für Schwachstellen CVSS 3.1 bewertet Microsoft diese mit dem Wert 8.8 von 10.

Artikel lesen
Neue Schwachstelle im Citrix Netscaler/ADC: CTX330728

Citrix hat kritische "Common Vulnerabilities and Exposures" (CVE) bekanntgegeben. Der Hersteller kategorisiert eine der Sicherheitslücken als "kritisch".

Artikel lesen
Umstellung auf Winterzeit beim Einsatz von PVS

Wir möchten Sie darüber informieren, dass es aufgrund der am Sonntag, den 31.10.2021 bevorstehenden Umstellung auf die Winterzeit zu Problemen beim Einsatz von Citrix Provisioning Services (PVS) kommen kann. Wenn bei Ihnen Citrix PVS nicht im Einsatz ist, ist diese E-Mail für Sie nicht relevant.

Artikel lesen
checkmark-circle