Citrix, NetScaler ADC ve NetScaler Gateway ürünlerinde biri kritik olmak üzere iki güvenlik açığını açıkladı.
Şirketin tavsiyesi ayrıntılara fazla açıklık getirmese de, iki hatanın arabellekle ilgili olduğunu söylüyor: CVE-2023-4966, kritik CVSS puanı 9,4 olan bir bilginin açığa çıkması güvenlik açığı; ve CVE-2023-4967 (ayrılmış ancak henüz tam olarak açıklanmamış, CVSS puanı 8,2 olan bir hizmet reddi hatası.
Her iki durumda da, cihaz yalnızca bir ağ geçidi (bir VPN sanal sunucusu, bir ICA proxy’si, istemcisiz erişim CVPN’si veya bir RDP proxy’si) veya bir AAA (kimlik doğrulama, yetkilendirme, hesap oluşturma) sanal sunucusu olarak yapılandırılmışsa güvenlik açığından etkilenir.
Kullanım ömrü sona eren DC ve NetScaler Gateway sürüm 12.1 hariç, yazılımın etkilenen sürümleri için sabit sürümler mevcuttur.
Citrix ayrıca AMD işlemcilerde çalışan Hypervisor’daki bir dizi üçüncü taraf güvenlik açığını düzeltmek için yamalar da kullanıma sundu.
Sorunlar Citrix Hypervisor 8.2 CU1 LTSR’yi etkiliyor ve konuk sanal makinede (VM) çalışan ayrıcalıklı kod aracılığıyla sistemin tehlikeye girmesine neden olabilir.
Citrix tarafından tartışılan beş güvenlik açığından yalnızca biri (CVE-2023-20588) AMD tarafından tamamen açıklandı.
Bu, “bazı AMD işlemcilerdeki sıfıra bölme hatasıdır” ve “potansiyel olarak spekülatif verileri döndürerek gizlilik kaybına neden olabilir.”
Diğer güvenlik açıklarının CVE’leri ayrılmış ancak henüz yayınlanmamıştır: CVE-2023-34326 (geçişli bir PCI aygıtı aracılığıyla AMD tabanlı bir ana bilgisayarın güvenliğinin tehlikeye atılması); CVE-2023-34324 (ana bilgisayarın çökmesine veya yanıt vermemesine neden olur); ve CVE-2023-34327 (aynı ana bilgisayarda çalışan farklı bir VM’nin çökmesi).
Not: Görünüşe göre Citrix tavsiyesinde bir yazım hatası var; Belirtilen güvenlik açığından biri olan CVE-2022-1304 (belirli bir yönetim eylemi gerçekleştirildiğinde ana bilgisayarın güvenliğinin tehlikeye atılması), NIST’e göre e2fsprogs’taki bir hatanın CVE’sini taşıyor.