Risque

  • Exécution de commandes arbitraires à distance

Systèmes affectés

  • Access Essentials 1.0 ;
  • Citrix Access Essentials 1.5 ;
  • Citrix Access Essentials 2.0 ;
  • Citrix Metaframe Presentation Server 3.0 for Microsoft Windows 2000 ;
  • Citrix Metaframe Presentation Server 3.0 for Microsoft Windows 2003 ;
  • Citrix Presentation Server 4.0 for Microsoft Windows 2000 ;
  • Citrix Presentation Server 4.0 for Microsoft Windows 2003 ;
  • Citrix Presentation Server 4.0 x64 Edition ;
  • Citrix Presentation Server 4.5 for Windows Server 2003 ;
  • Citrix Presentation Server 4.5 for Windows Server 2003 Feature Pack 1 ;
  • Citrix Presentation Server 4.5 for Windows Server 2003 x64 Edition.

Résumé

Une vulnérabilité de Citrix Presentation Server permet à une personne malintentionnée d'exécuter des commandes arbitraires à distance.

Description

Une vulnérabilité a été découverte dans Citrix Presentation Server. Une personne malveillante peut ainsi exécuter des commandes arbitraires à distance en incitant un utilisateur autorisé à invoquer une connexion ICA (Independent Computing Architecture) vers Citrix Presentation Server au moyen d'une page web malicieusement construite, par exemple.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Des contournements permettant de mitiger les possibilités d'exploitation y sont également décrits.

Documentation