Risque
- Contournement de la politique de sécurité
Systèmes affectés
- Citrix Metaframe Presentation Server 3.x ;
- Citrix Présentation Server 4.x.
Résumé
Une vulnérabilité dans certains produits Citrix permet à un utilisateur mal intentionné de contourner la politique de sécurité.
Description
Une vulnérabilité découverte dans la politique de filtrage basée sur la variable client name permet à un utilisateur distant mal intentionné de contourner la politique de sécurité. Une personne malveillante peut s'authentifier auprès du serveur après avoir habilement modifié le fichier launch.ica.
Contournement provisoire
Changer la politique de sécurité de l'application Citrix de manière à ce que l'authentification ne se fasse pas par le biais de la variable client name.
Solution
Ce produit n'est plus maintenu par l'éditeur. Il convient de migrer vers une version soutenue du produit. Se référer au bulletin de sécurité de l'éditeur pour plus d'informations (cf. section Documentation).
Documentation
- Bulletin de sécurité Citrix #CTX107705 du 27 septembre 2005 http://support.citrix.com/article/CTX107705
- Site Internet de l'éditeur : http://support.citrix.com
- Référence CVE CVE-2005-3134 https://www.cve.org/CVERecord?id=CVE-2005-3134