Citrix修复Ubuntu版本安全访问客户端中的严重漏洞

本周二，Citrix 修复了Utuntu 版本 Secure Access 客户端中的一个严重漏洞，可被用于实现远程代码执行。不过，按照 Citrix 在安全公告中的说法，该漏洞（CVE-2023-24492，CVSS评分9.6）需要用户交互才能被利用。

NIST 发布安全公告指出，“Citrix Secure Acess for Ubuntu 中存在一个漏洞，如遭利用，则只需受害者用户打开由攻击者构造的链接并接受进一步的提示，就可远程利用代码。”

虽然 Citrix 公司并未提供任何技术详情，但表示适用于 Ubuntu 版本的 Secure Access 客户端版本23.5.2中已修复该漏洞。

本周二，Citrix 还修复了位于Windows 版本 Secure Access 客户端中的一个高危提权漏洞CVE-2023-24491（CVSS评分7.8）。攻击者如能以标准用户账户访问端点以及拥有一个易受攻击客户端，则可提权至 NT Authority\System。

该漏洞已在Windows 版本23.5.1.3中修复。

这两个漏洞都是由 F2TC Cyber Security 公司的研究员 Rilke Petrosky 发现并报告的。

建议客户尽快升级版本，如通过 ADC 或 Gateway 的SSL VPN 更新控制性能更新进行发行，则 Citrix ADC 或 Gateway 上的易受攻击客户端。然而，Citrix 还发布独立的 Secure Access 客户端，客户可直接在用户设备上安装或更新已修复版本。

Citrix 并未提到这些漏洞是否遭利用，但未修复 Citrix 产品遭恶意攻击并不少见。Citrix 还在安全通告页面上发布了更多详情。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

免责声明：本文系网络转载或改编，未找到原创作者，版权归原作者所有。如涉及版权，请联系删