S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 17 janvier 2008
N° CERTA-2008-AVI-027
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilité de produits Citrix

Gestion du document

Référence CERTA-2008-AVI-027
Titre Vulnérabilité de produits Citrix
Date de la première version17 janvier 2008
Date de la dernière version17 janvier 2008
Source(s) Bulletin Citrix CTX114487 du 15 janvier 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • Citrix Access Essentials, toutes versions ;
  • Citrix Desktop Server, toutes versions.
  • Citrix Metaframe Server, toutes les versions jusqu'à 4.5 ;
  • Citrix Presentation Server, toutes les versions jusqu'à 4.5 ;

Résumé

Une vulnérabilité dans plusieurs produits Citrix permet à un utilisateur malveillant d'exécuter du code arbitraire à distance.

Description

Le service IMA du serveur Citrix présente un défaut de vérification de bornes. Un utilisateur malveillant peut, à l'aide d'un paquet spécialement conçu envoyé sur le port TCP 2512 ou sur le port TCP 2513, exploiter ce défaut pour exécuter du code à distance avec les privilège du service IMA.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 17 janvier 2008
    version initiale.