漏洞情報 | Citrix發布安全通告修復多個漏洞

0x01 漏洞描述

Citrix相關組件是美國思杰系統（Citrix Systems）公司提供的一套網絡管理、防火墻、網關等功能的集成化平臺。

Citrix ADC是整體式和基于微服務的應用交付和負載均衡解決方案；Citrix Gateway為遠程網絡訪問提供安全連接；Citrix SD-WAN WANOP設備用于優化WAN鏈接。

360漏洞云監測到Citrix發布安全通告，修復了Citrix ADC、Citrix Gateway和Citrix SD-WAN WANOP產品的多處安全漏洞。

• CVE-2021-22919 有限的磁盤空間消耗
• CVE-2021-22920 通過釣魚攻擊劫持SAML認證竊取用戶會話
• CVE-2021-22927 SAML SP上授權用戶的會話固定

0x02 危害等級

高危

0x03 影響版本

Citrix ADC and Citrix Gateway 13.0 <13.0-82

Citrix ADC and Citrix Gateway 12.1 <12.1-62

Citrix ADC and NetScaler Gateway 11.1 <11.1

Citrix ADC 12.1-FIPS <12.1-55.247

Citrix SD-WAN WANOP Edition 11.4 <11.4.0.a

Citrix SD-WAN WANOP Edition 11.3 <11.3.2.a

Citrix SD-WAN WANOP Edition 11.2 <11.2.3.b

Citrix SD-WAN WANOP Edition 10.2 <10.2.9.b 

0x04 修復版本

Citrix ADC and Citrix Gateway 13.0-82.45 

Citrix ADC and Citrix Gateway 12.1-62.27 

Citrix ADC and NetScaler Gateway 11.1-65.22

Citrix ADC 12.1-FIPS 12.1-55.247

Citrix SD-WAN WANOP Edition 11.4.0.a

Citrix SD-WAN WANOP Edition 11.3.2.a

Citrix SD-WAN WANOP Edition 11.2.3.b

Citrix SD-WAN WANOP Edition 10.2.9.b 

0x05 修復建議

廠商已發布升級修復漏洞，用戶請盡快更新至安全版本。