聚焦源代码安全,网罗国内外最新资讯!
编译:代码卫士
本周二,Citrix 修复了Utuntu 版本 Secure Access 客户端中的一个严重漏洞,可被用于实现远程代码执行。不过,按照 Citrix 在安全公告中的说法,该漏洞(CVE-2023-24492,CVSS评分9.6)需要用户交互才能被利用。
NIST 发布安全公告指出,“Citrix Secure Acess for Ubuntu 中存在一个漏洞,如遭利用,则只需受害者用户打开由攻击者构造的链接并接受进一步的提示,就可远程利用代码。”
虽然 Citrix 公司并未提供任何技术详情,但表示适用于 Ubuntu 版本的 Secure Access 客户端版本23.5.2中已修复该漏洞。
本周二,Citrix 还修复了位于Windows 版本 Secure Access 客户端中的一个高危提权漏洞CVE-2023-24491(CVSS评分7.8)。攻击者如能以标准用户账户访问端点以及拥有一个易受攻击客户端,则可提权至 NT Authority\System。
该漏洞已在Windows 版本23.5.1.3中修复。
这两个漏洞都是由 F2TC Cyber Security 公司的研究员 Rilke Petrosky 发现并报告的。
建议客户尽快升级版本,如通过 ADC 或 Gateway 的SSL VPN 更新控制性能更新进行发行,则 Citrix ADC 或 Gateway 上的易受攻击客户端。然而,Citrix 还发布独立的 Secure Access 客户端,客户可直接在用户设备上安装或更新已修复版本。
Citrix 并未提到这些漏洞是否遭利用,但未修复 Citrix 产品遭恶意攻击并不少见。Citrix 还在安全通告页面上发布了更多详情。
代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com
推荐阅读
Citrix 修复Workspace等多款产品中的多个严重漏洞
Citrix修复位于Gateway 和 ADC 中的严重漏洞
攻击者滥用 Citrix NetScaler 设备 0day,发动DDoS放大攻击
原文链接
https://www.securityweek.com/citrix-patches-critical-vulnerability-in-secure-access-client-for-ubuntu/
题图:Pixabay License
本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~