Risque

  • Contournement de la politique de sécurité

Systèmes affectés

  • Citrix Metaframe Presentation Server 3.x ;
  • Citrix Présentation Server 4.x.

Résumé

Une vulnérabilité dans certains produits Citrix permet à un utilisateur mal intentionné de contourner la politique de sécurité.

Description

Une vulnérabilité découverte dans la politique de filtrage basée sur la variable client name permet à un utilisateur distant mal intentionné de contourner la politique de sécurité. Une personne malveillante peut s'authentifier auprès du serveur après avoir habilement modifié le fichier launch.ica.

Contournement provisoire

Changer la politique de sécurité de l'application Citrix de manière à ce que l'authentification ne se fasse pas par le biais de la variable client name.

Solution

Ce produit n'est plus maintenu par l'éditeur. Il convient de migrer vers une version soutenue du produit. Se référer au bulletin de sécurité de l'éditeur pour plus d'informations (cf. section Documentation).

Documentation