S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 19 mai 2008
N° CERTA-2008-AVI-251
Affaire suivie par: CERT-FR

Avis du CERT-FR

Objet: Vulnérabilités dans Citrix Presentation Server

Gestion du document

Référence CERTA-2008-AVI-251
Titre Vulnérabilités dans Citrix Presentation Server
Date de la première version19 mai 2008
Date de la dernière version19 mai 2008
Source(s) Bulletin de sécurité Citrix CTX114893 du 12 mai 2008
Bulletin de sécurité Citrix CTX116941 du 13 mai 2008

Une gestion de version détaillée se trouve à la fin de ce document.

Risques

  • Atteinte à la confidentialité des données
  • Contournement de la politique de sécurité

Systèmes affectés

  • Citrix Access Essentials versions 2.0 et antérieures ;
  • Citrix Desktop Server version 1.0.
  • Citrix Presentation Server versions 4.5 et antérieures ;

Résumé

Deux vulnérabilités dans Citrix Presentation Server permettent à une personne malintentionnée de contourner la politique de sécurité.

Description

Deux vulnérabilités ont été identifiées dans Citrix Presentation Server :

  • une vulnérabilité permet à des personnes authentifiées d'accéder à des sessions de bureau pour lesquelles ils ne sont pas autorisés ;
  • une deuxième vulnérabilité due à une erreur dans le protocole ICA permet à une personne malintentionnée d'utiliser des algorithmes de chiffrement plus faibles que ceux autorisés par l'administrateur pour certaines connexions.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 19 mai 2008
    version initiale.