漏洞起因
设计错误
影响系统
Citrix Receiver for iPhone 1.0
Citrix Online Plug-in for Windows 11.0
Citrix Online Plug-in for Mac
Citrix ICA Client for XenDesktop
Citrix ICA Client for XenApp
不受影响系统
Citrix Receiver for iPhone 1.0.3
Citrix Online Plug-in for Windows 11.0.150
Citrix Online Plug-in for Windows 11.2
Citrix Online Plug-in for Mac 11.0
危害
远程攻击者可以利用漏洞获得敏感信息。
攻击所需条件
攻击者必须访问Citrix多个产品。
漏洞信息
Citrix在线插件和XenApp、XenDesktop的ICA客户端存在漏洞,允许攻击者伪造SSL或TLS末端。客户必须注意的是此问题与TLS重协商前缀注入攻击不同。
SSL/TLS可用于XenDesktop或XenApp中为ICA通信提供服务验证,漏洞允许攻击者使用特殊构建的证书成功的伪造SSL/TLS服务器,允许攻击者破坏原来已有的服务器验证。
要成功利用此漏洞,攻击者必须从可信的证书授权中心获得特殊构建的证书。
测试方法
厂商解决方案
用户可联系供应商获得程序的最新版本:
http://www.citrix.com/
漏洞提供者
Citrix
0 条评论。