S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 19 mai 2008
N° CERTA-2008-AVI-251
Affaire suivie par: CERT-FR
le 19 mai 2008

Avis du CERT-FR

Objet: Vulnérabilités dans Citrix Presentation Server

Gestion du document

Référence CERTA-2008-AVI-251
Titre Vulnérabilités dans Citrix Presentation Server
Date de la première version 19 mai 2008
Date de la dernière version 19 mai 2008
Source(s) Bulletin de sécurité Citrix CTX114893 du 12 mai 2008
Bulletin de sécurité Citrix CTX116941 du 13 mai 2008
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Contournement de la politique de sécurité ;
  • atteinte à la confidentialité des données.

Systèmes affectés

  • Citrix Presentation Server versions 4.5 et antérieures ;
  • Citrix Access Essentials versions 2.0 et antérieures ;
  • Citrix Desktop Server version 1.0.

Résumé

Deux vulnérabilités dans Citrix Presentation Server permettent à une personne malintentionnée de contourner la politique de sécurité.

Description

Deux vulnérabilités ont été identifiées dans Citrix Presentation Server :

  • une vulnérabilité permet à des personnes authentifiées d'accéder à des sessions de bureau pour lesquelles ils ne sont pas autorisés ;
  • une deuxième vulnérabilité due à une erreur dans le protocole ICA permet à une personne malintentionnée d'utiliser des algorithmes de chiffrement plus faibles que ceux autorisés par l'administrateur pour certaines connexions.

Solution

Se référer aux bulletins de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 19 mai 2008
    version initiale.