Risques
- Contournement de la politique de sécurité
- Exécution de code arbitraire à distance
Systèmes affectés
- Citrix Virtual Apps and Desktops 1912 LTSR sans le correctif de sécurité CU7
- Citrix Virtual Apps and Desktops 2203 LTSR sans le correctif de sécurité CU3
- Citrix Virtual Apps and Desktops versions antérieures à 2305
- Linux Virtual Delivery Agent 1912 LTSR sans le correctif de sécurité CU7 hotfix 1(19.12.7001)
- Linux Virtual Delivery Agent 2203 LTSR sans le correctif de sécurité CU3
- Linux Virtual Delivery Agent versions antérieures à 2305
- ShareFile storage zones controller versions antérieures à 5.11.24
Résumé
De multiples vulnérabilités ont été découvertes dans les produits Citrix. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.
Solution
Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).
Documentation
- Bulletin de sécurité Citrix CTX559370 du 13 juin 2023 https://support.citrix.com/article/CTX559370/windows-and-linux-virtual-delivery-agent-for-cvad-and-citrix-daas-security-bulletin-cve202324490
- Bulletin de sécurité Citrix CTX559517 du 13 juin 2023 https://support.citrix.com/article/CTX559517/sharefile-storagezones-controller-security-update-for-cve202324489
- Référence CVE CVE-2023-24489 https://www.cve.org/CVERecord?id=CVE-2023-24489
- Référence CVE CVE-2023-24490 https://www.cve.org/CVERecord?id=CVE-2023-24490
