Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !
Un mois après sa divulgation, Citrix corrige enfin une faille critiqueCrédits : Matej Moderc/iStock

Mi-décembre, la société publiait un bulletin d’alerte inquiétant : « une vulnérabilité a été identifiée dans Citrix Application Delivery Controller (ADC) – anciennement connue sous le nom NetScaler ADC – et Citrix Gateway – anciennement connue sous le nom NetScaler Gateway – qui, si elle était exploitée, permettrait à un pirate non authentifié d'exécuter du code arbitraire ».

Elle concerne les applications « Citrix ADC et Gateway Virtual Appliances (VPX) hébergées sur n’importe quel Citrix Hypervisor (anciennement XenServer), ESX, Hyper-V, KVM, Azure, AWS, GCP ou sur Citrix ADC Service Delivery Appliance (SDX) ». Citrix SDWAN, et en particulier Citrix SDWAN WANOP edition, sont également concernés.

On pouvait donc s’attendre à ce que la société corrige rapidement cette brèche géante, mais cela n’a pas été le cas. À la place, il fallait se contenter de mesures d’atténuation. Bien évidemment, la divulgation des détails de la faille a attiré les pirates de tout bord qui s’en sont rapidement donné à cœur joie

Il a fallu attendre le 19 janvier pour que les versions 11.1 et 12.0 de Citrix ADC et Gateway aient droit à un correctif. Les moutures 10.5, 12.1 et 13.0 ainsi que Citrix SD-WAN WANOP 10.2.6 et 11.0.3 doivent pour leur part encore attendre le 24 janvier. La société n’explique pas pourquoi le délai est aussi long.

3 commentaires
Avatar de Dice34110 Abonné
Avatar de Dice34110Dice34110- 21/01/20 à 10:13:36

Et si plutôt que le retrait des contenue haineux en 24h on faisait la correction des faille de sécurité majeure divulgué en 96h?

Avatar de j-dub INpactien
Avatar de j-dubj-dub- 21/01/20 à 11:15:14

Dice34110 a écrit :

Et si plutôt que le retrait des contenue haineux en 24h on faisait la correction des faille de sécurité majeure divulgué en 96h?

Pas compris :mad2:

Avatar de janiko Abonné
Avatar de janikojaniko- 21/01/20 à 11:59:55

ah merde, je vais être obligé de retaper le mot de passe pour me connecter sur mon accès à distance ?

Il n'est plus possible de commenter cette actualité.