fbpx

Citrix 第一時間更新 Citrix WAF, 避免 Apache CVE-2021-44228 漏洞開採

2021年 12 月 10 日 Apache 軟體基金會最近公佈了 Apache Log4J2 JNDI LDAP和其他 JNDI 相關元件的漏洞(CVE-2021-44228 、CVE-2021-45046 、CVE-2021-44832 )。

漏洞公佈後Citrix第一時間已快速動員安全和 IT 部門調查該問題並立即盡一切可能降低潛在的風險。

針對此問題Citrix官方的最新情況說明請參考:

https://support.citrix.com/article/CTX335705

目前此漏洞對Citrix產品的影響說明如下:

產品影響分析
Citrix ADC (NetScaler ADC) and
Citrix Gateway (NetScaler Gateway)		全平台 –不受此問題影響
Citrix Application Delivery
Management (NetScaler MAS)		全平台 –不受此問題影響
Citrix Cloud Connector不受此問題影響
Citrix Connector Appliance for Cloud Services不受此問題影響
Citrix Endpoint Management (Citrix XenMobile Server)受影響,建議客戶立即更新以下最新的CEM補丁以降低漏洞風險

CVE-2021-44228 and CVE-2021-45046: 
XenMobile Server 10.14 RP2: https://support.citrix.com/article/CTX335763  
XenMobile Server 10.13 RP5: https://support.citrix.com/article/CTX335753 
XenMobile Server 10.12 RP10: https://support.citrix.com/article/CTX335785  

CVE-2021-45105: 
XenMobile Server 10.14 RP3: https://support.citrix.com/article/CTX335897 
XenMobile Server 10.13 RP6: https://support.citrix.com/article/CTX335875  
XenMobile Server 10.12 RP11: https://support.citrix.com/article/CTX335861 

※注意: 建議已將XenMobile Server 升級到更新版本的客戶不要將Blog提及的響應策略,應用於XenMobile Server 前面的Citrix ADC 虛擬機,這有可能會影響Android 設備的註冊。

CVE-2021-44832: 分析調查中
Citrix Hypervisor (XenServer)不受此問題影響
Citrix License Server不受此問題影響
Citrix SD-WAN全平台 –不受此問題影響
Citrix ShareFile Storage Zones
Controller		不受此問題影響
Citrix Virtual Apps and Desktops (XenApp & XenDesktop)Linux VDA LTSR 所有版本 – 不受此問題影響
All other CVAD 元件 – 不受此問題影響

CVE-2021-44228 and CVE-2021-45046
Linux VDA(僅限非 LTSR 版本)- 受影響,建議客戶立即更新最新的更新以降低漏洞風險

Linux Virtual Delivery Agent 2112:  https://www.citrix.com/downloads/citrix-virtual-apps-and-desktops/components/linux-vda-2112.html  

緩解措施:
無法立即升級的客戶可以在運行 VDA 的 Linux 機器上使用 root 權限執行以下命令,以防止 CVE-2021-44228 和 CVE-2021-45046:

cd /opt/Citrix/VDA/lib64 
zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

CVE-2021-45105:
分析結果顯示VDA不受影響,儘管如此,Linux VDA 2112 已更新(21.12.0.30,12 月 20 日發布)以包含 Apache log4j 版本 2.17.0。

CVE-2021-44832: 正在分析調查中
Citrix Workspace App不受此問題影響(所有版本)

此外,Citrix WAF已針對此漏洞在第一時間做出了漏洞簽名更新,使用者使用Citrix WAF 可以避免此問題

我們將繼續監測並對Log4j 漏洞相關的新資訊做出回應

發表迴響

Powered by WordPress.com.

Up ↑

感謝您的填寫,請點此觀看案例

%d 位部落客按了讚: