Citrix, Netscaler ADC ve Gatway’in (eski adıyla Citrix ADC ve Gateway) yanı sıra hipervizördeki çeşitli güvenlik açıkları konusunda uyarıyor. Şirketin programcıları boşlukları dolduracak güncellenmiş yazılımlar sağladılar. Üreticiye göre hızlı bir güncelleme önerilir.
Duyuru
Citrix, Netscaler ADC ve Gateway’deki iki güvenlik açığını giderir. Açıklama çok belirsiz: Citrix geliştiricileri güvenlik raporunda bunların “kimliği doğrulanmamış, arabellekle ilgili güvenlik açıkları” olduğunu yazıyor. Cihaz bir AAA sanal sunucusu veya sanal VPN sunucusu, ICA proxy’si, CVPN proxy’si veya RDP olarak yapılandırılmışsa güvenlik açıkları hassas bilgileri açığa çıkarabilir (CVE-2023-4966, CVSS) 9.4“Risk”eleştirmen“) veya hizmet reddine neden olabilir (CVE-2023-4967, CVSS) 8.2, yüksek).
Citrix: Netscaler ve Hypervisor’daki Boşluklar
Citrix Hypervisor 8.2 CU1 LTSR hipervizöründe de çeşitli güvenlik açıkları keşfedildi. AMD tabanlı ana bilgisayarların güvenliği, VM’ye iletilen bir PCI aygıtı tarafından tehlikeye atılabilir (CVE-2023-34326). Yöneticiler belirli bir seçeneği (“Yedekle, geri yükle ve yenile” bölümünde sanal makine meta verilerini geri yükle”) kullanırsa ana bilgisayarın güvenliği tehlikeye girebilir (CVE-2022-1304). Ana bilgisayar kilitlenebilir veya yanıt vermeyebilir (CVE-2023-34324) ya da AMD tabanlı ana bilgisayar sisteminde çalışan diğer sanal makineler kilitlenebilir (CVE-2023-34327). Geliştiriciler ayrıca güncellenen kodla (CVE-2023-20588) aynı CPU çekirdeği üzerinde çalışan diğer VM’lerden bilgilerin açığa çıkmasına yol açabilecek AMD CPU’lara yönelik bir yan kanal saldırısını da önledi.
NetScaler ADC ve NetScaler Gateway sürümleri 14.1-8.50, 13.1-49.15, 13.0-92.19’un yanı sıra NetScaler ADC 13.1-FIPS 13.1-37.164 veya 12.1-55.300 ve NetScaler ADC 12.1-NDcPP 12.1-55.300 ve daha yeni sürümler bu hatayı düzeltin. Citrix, Netscaler ADC ve Gateway 12.1’in kullanım ömrünün sonuna geldiğini ve BT yöneticilerinin bunları daha yeni, hâlâ desteklenen sürümlere yükseltmesi gerektiğini belirtiyor. Üretici, güvenlik açığı bulunan Citrix Hypervisor 8.2 CU1 LTSR için güvenlik mesajında bağlantısı verilen çeşitli düzeltmeler sağlar.
Citrix kurulumlarına sahip BT yöneticileri, güncellemeleri uygulama konusunda oldukça isteksiz görünüyor. Temmuz ortasında Netscaler ADC ve Gateway’deki kritik bir güvenlik açığı öğrenildi. Ancak ayın sonunda 15.000 güvenlik açığı bulunan sisteme hâlâ çevrimiçi olarak erişilebiliyordu.
(Bilmiyorum)
Haberin Sonu
Duyuru
Citrix, Netscaler ADC ve Gateway’deki iki güvenlik açığını giderir. Açıklama çok belirsiz: Citrix geliştiricileri güvenlik raporunda bunların “kimliği doğrulanmamış, arabellekle ilgili güvenlik açıkları” olduğunu yazıyor. Cihaz bir AAA sanal sunucusu veya sanal VPN sunucusu, ICA proxy’si, CVPN proxy’si veya RDP olarak yapılandırılmışsa güvenlik açıkları hassas bilgileri açığa çıkarabilir (CVE-2023-4966, CVSS) 9.4“Risk”eleştirmen“) veya hizmet reddine neden olabilir (CVE-2023-4967, CVSS) 8.2, yüksek).
Citrix: Netscaler ve Hypervisor’daki Boşluklar
Citrix Hypervisor 8.2 CU1 LTSR hipervizöründe de çeşitli güvenlik açıkları keşfedildi. AMD tabanlı ana bilgisayarların güvenliği, VM’ye iletilen bir PCI aygıtı tarafından tehlikeye atılabilir (CVE-2023-34326). Yöneticiler belirli bir seçeneği (“Yedekle, geri yükle ve yenile” bölümünde sanal makine meta verilerini geri yükle”) kullanırsa ana bilgisayarın güvenliği tehlikeye girebilir (CVE-2022-1304). Ana bilgisayar kilitlenebilir veya yanıt vermeyebilir (CVE-2023-34324) ya da AMD tabanlı ana bilgisayar sisteminde çalışan diğer sanal makineler kilitlenebilir (CVE-2023-34327). Geliştiriciler ayrıca güncellenen kodla (CVE-2023-20588) aynı CPU çekirdeği üzerinde çalışan diğer VM’lerden bilgilerin açığa çıkmasına yol açabilecek AMD CPU’lara yönelik bir yan kanal saldırısını da önledi.
NetScaler ADC ve NetScaler Gateway sürümleri 14.1-8.50, 13.1-49.15, 13.0-92.19’un yanı sıra NetScaler ADC 13.1-FIPS 13.1-37.164 veya 12.1-55.300 ve NetScaler ADC 12.1-NDcPP 12.1-55.300 ve daha yeni sürümler bu hatayı düzeltin. Citrix, Netscaler ADC ve Gateway 12.1’in kullanım ömrünün sonuna geldiğini ve BT yöneticilerinin bunları daha yeni, hâlâ desteklenen sürümlere yükseltmesi gerektiğini belirtiyor. Üretici, güvenlik açığı bulunan Citrix Hypervisor 8.2 CU1 LTSR için güvenlik mesajında bağlantısı verilen çeşitli düzeltmeler sağlar.
Citrix kurulumlarına sahip BT yöneticileri, güncellemeleri uygulama konusunda oldukça isteksiz görünüyor. Temmuz ortasında Netscaler ADC ve Gateway’deki kritik bir güvenlik açığı öğrenildi. Ancak ayın sonunda 15.000 güvenlik açığı bulunan sisteme hâlâ çevrimiçi olarak erişilebiliyordu.
(Bilmiyorum)
Haberin Sonu