Avis du CERTA : Vulnérabilité dans Citrix Presentation Server
novembre 2007 par CERT-FR
1 Risque
Exécution de commandes arbitraires à distance.
2 Systèmes affectés
* Access Essentials 1.0 ;
* Citrix Access Essentials 1.5 ;
* Citrix Access Essentials 2.0 ;
* Citrix Metaframe Presentation Server 3.0 for Microsoft Windows 2000 ;
* Citrix Metaframe Presentation Server 3.0 for Microsoft Windows 2003 ;
* Citrix Presentation Server 4.0 for Microsoft Windows 2000 ;
* Citrix Presentation Server 4.0 for Microsoft Windows 2003 ;
* Citrix Presentation Server 4.0 x64 Edition ;
* Citrix Presentation Server 4.5 for Windows Server 2003 ;
* Citrix Presentation Server 4.5 for Windows Server 2003 Feature Pack 1 ;
* Citrix Presentation Server 4.5 for Windows Server 2003 x64 Edition.
3 Résumé
Une vulnérabilité de Citrix Presentation Server permet à une personne
malintentionnée d’exécuter des commandes arbitraires à distance.
4 Description
Une vulnérabilité a été découverte dans Citrix Presentation Server. Une
personne malveillante peut ainsi exécuter des commandes arbitraires à distance
en incitant un utilisateur autorisé à invoquer une connexion ICA (Independent
Computing Architecture) vers Citrix Presentation Server au moyen d’une page web
malicieusement construite, par exemple.
5 Solution
Se référer au bulletin de sécurité de l’éditeur pour l’obtention des correctifs
(cf. section Documentation). Des contournements permettant de mitiger les
possibilités d’exploitation y sont également décrits.
6 Documentation
* Bulletin de sécurité Citrix CTX115245 du 14 novembre 2007 :