S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 06 décembre 2006
N° CERTA-2006-AVI-532
Affaire suivie par: CERT-FR
le 06 décembre 2006

Avis du CERT-FR

Objet: Vulnérabilité de Citrix

Gestion du document

Référence CERTA-2006-AVI-532
Titre Vulnérabilité de Citrix
Date de la première version 06 décembre 2006
Date de la dernière version 06 décembre 2006
Source(s) Bulletin de sécurité Citrix CTX111827 du 04 décembre 2006
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Exécution de code arbitraire.

Systèmes affectés

  • Citrix Presentation Manager Server ;
  • ICA WIn32 Program Neighborhood Client ;
  • ICA WIn32 Program Neighborhood Agent ;
  • ICA WIn32 Web Client.

Résumé

Une vulnérabilité dans un composant ActiveX permet d'exécuter du code arbitraire.

Description

Le serveur Citrix Presentation Manager Server fournit un composant ActiveX qui permet l'intégration du client dans des pages web. Une vulnérabilité dans ce composant permet d'exécuter du code arbitraire dans le contexte du processus du serveur. Cette attaque utilise une page web spécialement conçue à cet effet.

Solution

La version 9.230 du serveur Citrix Presentation Manager Server corrige le problème. Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 06 décembre 2006
    version initiale.