Citrix, Virtual Apps and Desktops yazılımında aşağıdaki güvenlik istismarına neden olabilecek açıklar tespit etti:
- Windows Sanal Masaüstüne erişimi olan bir kullanıcı, bu Windows Sanal Masaüstündeki ayrıcalık düzeyini SYSTEM’e yükseltebilir.
- Windows dosya paylaşımının (SMB) etkin olduğu bir Windows Sanal Masaüstünde SYSTEM kullanıcısı olarak komut yürütebilir.
Bu güvenlik açıklarının tanımları:
CVE-2020-8269
VDA’daki ayrıcalıksız bir Windows kullanıcısı, SYSTEM kullanıcısı olarak rastgele komut yürütme gerçekleştirebilir
CVE-2020-8270
VDA’da ayrıcalıklı olmayan bir Windows kullanıcısı veya bir SMB kullanıcısı, SYSTEM kullanıcısı olarak rastgele komut yürütme gerçekleştirebilir (‘OS Command Injection’)
Güvenlik açıkları, Citrix Virtual Apps and Desktops’ın aşağıdaki desteklenen sürümlerini etkiler:
- Citrix Virtual Apps and Desktops 2006 ve önceki sürümler
- Citrix Virtual Apps and Desktops 1912 LTSR CU1 ve 1912 LTSR’nin önceki sürümleri
- Citrix XenApp / XenDesktop 7.15 LTSR CU6 ve 7.15 LTSR’nin önceki sürümleri
- Citrix XenApp / XenDesktop 7.6 LTSR CU8 ve 7.6 LTSR’nin önceki sürümleri
Citrix XenApp / XenDesktop 7.6 LTSR’nin CVE-2020-8270’ten etkilenmediğini lütfen unutmayın.
Ne Yapmalı?
- Citrix CR sürüm kullaıyorsanız CVAD 2009 ve üstü versiyonları tercih edebilirsiniz.
- Citrix Virtual Apps and Desktops 1912 LTSR kullanıyorsanız, CTX285870, CTX285871, CTX285872 ve CTX286120 makalelerinde bulunan güncelleştirmeleri geçmeniz gerekir
- Citrix XenApp / XenDesktop 7.15 LTSR kullanıyorsanız, CTX285341, CTX285342 ve CTX285344 makalelerinde bulunan güncelleştirmeleri geçmeniz gerekir
Citrix Virtual Apps and Desktops 1912 CU1
CTX285870 – https://support.citrix.com/article/CTX285870
CTX285871 – https://support.citrix.com/article/CTX285871
CTX285872 – https://support.citrix.com/article/CTX285872
CTX286120 – https://support.citrix.com/article/CTX286120
Citrix XenApp / XenDesktop 7.15 CU6
CTX285341 – https://support.citrix.com/article/CTX285341
CTX285342 – https://support.citrix.com/article/CTX285342
CTX285344 – https://support.citrix.com/article/CTX285344