Risque
Exécution de commandes arbitraires à distance.
Systèmes affectés
- Access Essentials 1.0 ;
- Citrix Access Essentials 1.5 ;
- Citrix Access Essentials 2.0 ;
- Citrix Metaframe Presentation Server 3.0 for Microsoft Windows 2000 ;
- Citrix Metaframe Presentation Server 3.0 for Microsoft Windows 2003 ;
- Citrix Presentation Server 4.0 for Microsoft Windows 2000 ;
- Citrix Presentation Server 4.0 for Microsoft Windows 2003 ;
- Citrix Presentation Server 4.0 x64 Edition ;
- Citrix Presentation Server 4.5 for Windows Server 2003 ;
- Citrix Presentation Server 4.5 for Windows Server 2003 Feature Pack 1 ;
- Citrix Presentation Server 4.5 for Windows Server 2003 x64 Edition.
Résumé
Une vulnérabilité de Citrix Presentation Server permet à une personne malintentionnée d'exécuter des commandes arbitraires à distance.
Description
Une vulnérabilité a été découverte dans Citrix Presentation Server. Une personne malveillante peut ainsi exécuter des commandes arbitraires à distance en incitant un utilisateur autorisé à invoquer une connexion ICA (Independent Computing Architecture) vers Citrix Presentation Server au moyen d'une page web malicieusement construite, par exemple.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation). Des contournements permettant de mitiger les possibilités d'exploitation y sont également décrits.
Documentation
- Bulletin de sécurité Citrix CTX115245 du 14 novembre 2007 :
http://support.citrix.com/article/CTX115245
