哈喽大家好,欢迎来到虚拟化时代君(XNHCYL),收不到通知请将我点击星标!“ 大家好,我是虚拟化时代君,一位潜心于互联网的技术宅男。这里每天为你分享各种你感兴趣的技术、教程、软件、资源、福利…(每天更新不间断,福利不见不散)
第一章、引言
根据安全部门的通知,昨日2024年11月13日我们监测到Citrix ADC 及 Citrix Gateway 存在内存安全和经过身份验证的用户可以访问非预期的用户功能漏洞(CVE-2024-8534和CVE-2024-8535),建议用户尽快升级,博主已升级完毕,暂无问题!
第二章、漏洞影响版本范围
请自查您的Netscaler版本,影响范围如下
NetScaler ADC 和 NetScaler Gateway14.1 <14.1-29.72
NetScaler ADC 和 NetScaler Gateway 13.1 <13.1-55.34
NetScaler ADC 和 NetScaler Gateway 13.0 <13.0-91.13
NetScaler ADC 13.1-FIPS < 13.1-37.207
NetScaler ADC 12.1-FIPS < 12.1-55.321
NetScaler ADC 12.1-NDcPP < 12.1-55.321
注意:NetScaler ADC 和 NetScaler Gateway 版本 12.1 和 13.0 现已终止使用 (EOL),并且存在漏洞。建议客户将其设备升级到可解决漏洞的受支持版本之一。
第三章、CVE-2024-83534漏洞详情
CVE-2024-8534漏洞
1、定义:属于内存安全漏洞,成功利用该漏洞可导致内存损坏和拒绝服务。
2、先决条件:
ADC 必须配置为网关 (VPN vServer),并且必须启用 RDP 功能
必须将 ADC 配置为网关 (VPN vServer),并且需要创建 RDP 代理服务器配置文件并将其设置为网关 (VPN vServer)
ADC 必须配置为启用了 RDP 功能的身份验证服务器(AAA 虚拟服务器)
3、漏洞评分:洞的 CVSS 评分为 8.4。
4、漏洞修复建议:通过检查 ns.conf 文件中的指定字符串,您可以确定是否将 ADC 配置为网关(VPN 虚拟服务器或 AAA 虚拟服务器),并启用了 RDP 功能或创建了 RDP 代理服务器配置文件:
启用了 RDP 功能的网关 (VPN Vserver):
enable ns feature.*rdpproxyadd vpn vserver
已创建 RDP 代理服务器配置文件并将其设置为网关 (VPN vserver) 的网关 (VPN vserver):
add rdp serverprofileadd vpn vserver
启用了 RDP 功能的身份验证服务器(AAA 虚拟服务器):
enable ns feature.*rdpproxyadd authentication vserver
此漏洞没有可用的缓解措施,因此,如果您使用的是受影响的版本,我们强烈建议您立即安装推荐的版本。
第四章、CVE-2024-83535漏洞详情
CVE-2024-8535漏洞
1、定义:此漏洞是由于争用条件导致经过身份验证的用户获得意外的用户功能而引起的。
2、先决条件:
ADC 必须配置为网关(SSL VPN、ICA 代理、CVPN 或 RDP 代理),并使用 KCDAccount 配置,以便 Kerberos SSO 访问后端资源。
ADC 必须配置为具有 KCDAccount 配置的身份验证服务器(AAA 虚拟服务器),以便 Kerberos SSO 访问后端资源。
3、漏洞评分:洞的 CVSS 评分为 5.8。
4、漏洞修复建议:通过检查 ns.conf 文件中的以下字符串来确定您是否具有问题。
KCDAccount 配置的网关(SSL VPN、ICA 代理、CVPN、RDP 代理),用于 Kerberos SSO 访问后端资源:
add aaa kcdaccount具有 KCDAccount 配置的 Auth 服务器(AAA Vserver),用于 Kerberos SSO 访问后端资源
add aaa kcdaccount此漏洞没有可用的缓解措施,因此,如果您使用的是受影响的版本,我们强烈建议您立即安装推荐的版本。
此外,升级到固定版本后,如果设备已配置为 HA 或群集模式,则必须修改设备配置,以确保从系统内存中刷新之前创建的所有会话。执行此操作的 shell 命令:
nsapimgr_wr.sh -ys call=ns_aaa_flush_kerberos_tickets如果 NetScaler ADC 已在 HA 模式下配置,则必须在 HA 模式下执行提供的 shell 命令:首先在主节点上执行,然后在辅助节点上执行。
第五章、安全版本
官方链接:https://support.citrix.com/s/article/CTX691608。
NetScaler ADC 和 NetScaler Gateway14.1-29.72 及更高版本
NetScaler ADC 和 NetScaler Gateway 13.1-55.34 及更高版本 13.1
NetScaler ADC 和 NetScaler Gateway 13.0 <13.0-91.13
NetScaler ADC 13.1-FIPS 13.1-37.207 及更高版本的
NetScaler ADC 12.1-FIPS 12.1-55.321 及更高版本的
NetScaler ADC 12.1-NDcPP 12.1-55.321 及更高版本
注意:NetScaler ADC 和 NetScaler Gateway 版本 12.1 和 13.0 现已终止使用 (EOL),不再受支持。
部分版本截图!
第六章、升级方法
请参考下面两种升级方法!
多种方法升级Citrix ADC(Netscaler)固件版本
Citrix ADC和Citrix Gateway 远程代码执行漏洞(CVE-2023-3519)修复方案
【以上内容均属虚拟化时代君整理,大家仅供参考!】
第七章、往期回顾
如果您觉得文章不错可以查看以前的文章
全网独家Citrix Netscaler通过EPA+PIV认证登录Citrix云桌面
空间不足云桌面崩了?全网超详细Citrix ADC VPX在线扩容独家小秘籍
Citrix Netscaler Authentication多种配置方法为Citrix云桌面保驾护航
紧随国内VDI步伐Citrix Workspace 小刘海终于大改版了!!
疫情远程办公Citrix XenDesktop 2203长期稳定版本虚拟云桌面部署教程
Citrix Virtual Apps and Desktops 7 2203 LTSR虚拟云桌面单机教程
Citrix通过Azure Active Directory实现Saml认证单点登录云桌面
Citrix Virtual Apps and Desktops云桌面内网Storefront登录流程详解
Citrix XenDesktop云桌面单点登录XenApp虚拟应用小技巧
Citrix XenDesktop 7.X用Powershell配置数据库 mirror、Always On和单机
关于Citrix Xenserver 50条运维命令以及使用技巧
Citrix DDC无法删除XenDesktop中计算机账户秘籍
Citrix XenServer MCS静态桌面批量添加D盘
多种方法升级Citrix ADC(Netscaler)固件版本
Citrix Virtual Desktops稳定版1912 CU3虚拟桌面全套部署
Citrix ADC和Citrix Gateway 远程代码执行漏洞(CVE-2023-3519)修复方案
打破常规:在Citrix ADC首页插入自定义文字和超链接的创新方法
【VMware】vrops vRealize Operations Manager 8云管平台部署与配置
资源申明:小编更新资源文章只是为了给大家提供一个绿色学习的平台,如果你在本站看到的任何图片文字有涉及到你的利益以及版权都可以联系小编删除。