S.G.D.S.N
Agence nationale
de la sécurité des
systèmes d'information
Paris, le 25 mai 2007
N° CERTA-2007-AVI-228
Affaire suivie par: CERT-FR
le 25 mai 2007

Avis du CERT-FR

Objet: Vulnérabilité d’un produit Citrix

Gestion du document

Référence CERTA-2007-AVI-228
Titre Vulnérabilité d’un produit Citrix
Date de la première version 25 mai 2007
Date de la dernière version 25 mai 2007
Source(s) Bulletin Citrix du 23 mai 2007
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

Contournement de la politique de sécurité.

Systèmes affectés

  • Citrix Metaframe Presentation Server 3.0 ;
  • Citrix Presentation Server 4.0 ;
  • Citrix Access Essentials 1.0 et 1.5.

Résumé

Une vulnérabilité dans un composant présent dans plusieurs produits Citrix permet de contourner la politique de sécurité.

Description

Le Session Reliability Service est utilisé par plusieurs produits Citrix pour communiquer à travers des réseaux considérés comme non sûrs. Une erreur dans ce service permet à un utilisateur malintentionné, par le biais d'une requête spécialement conçue, d'établir une connexion TCP sur tout port de la machine vulnérable. L'agresseur peut ainsi contourner la politique d'accès réseau.

L'exploitation de la vulnérabilité n'est possible que sur les systèmes ayant activé Session Reliability Service.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

Gestion détaillée du document

    le 25 mai 2007
    version initiale.