Stabsstelle DV-Sicherheit der
Universität Stuttgart (RUS-CERT)
https://cert.uni-stuttgart.de
logo
Meldung Nr: RUS-CERT-1416

[MS/Citrix] Schwachstelle in Citrix-Server-Produkten
(2008-01-18 15:24:04.308988+00)

Quelle: http://support.citrix.com/article/CTX114487

Eine Pufferüberlaufschwachstelle in verschiedenen Produkten von Citrix kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem mit administrativen Privilegien auszuführen. Dazu ist es lediglich erforderlich, dass der Angreifer in der Lage ist, ein entsprechend präpariertes Datenpaket an ein verwundbares System zu schicken. Citrix stellt Patches zur Behebung der Schwachstelle bereit.

Betroffene Systeme

Einfallstor
Ports 2512/tcp und 2513/tcp

Angriffsvoraussetzung
Zugriff auf eine Netzwerkverbindung, über die Pakete an ein verwundbares System gesandt werden kann

Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)

Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit administrativen Privilegien
(system compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Der Independent Management Architecture (IMA) Service ist ein Dienst, der es verschiedenen Citrix Presentation Servers innerhalb einer verbundenen Infrastruktur (Farm) ermöglicht, zu kommunizieren. Bis auf das Lizenzmanagement benötigen sämtliche Komponenten IMA für die Kommunikation untereinander.

Beschreibung
Eine Schwachstelle im IMA Service verschiedener Citrix-Server-Produkte kann von einem Angreifer Dazu ausgenutzt werden, einen heap overflow zu provozieren und in der Folge beliebigen Programmcode mit adminsitrativen den Privilegien auf dem beherberghenden Rechnersystem auszuführen.

Zur erfolgreichen Ausnutzung der Schwachstelle ist lediglich erforderlich, dass der Angreifer in der Lage ist, speziell formulierte Pakete an die IMA-Ports 2512/tcp und 2513/tcp zu senden.

Workaround

Hinweis:
Diese Maßnahme behebt die Schwachstelle nicht sondern schränkt lediglich die Zahl möglicher Systeme ein, von denen aus ein Angriff möglich ist. Da die Schwachstelle eine direkte Kompromittierung eines betroffenen Systems ermöglicht, sollte diese Maßnahme allein nur als Überbrückung bis zur Installation der entsprechenden Patches oder einer aktualisierten Versionen der betroffenen Software angewandt werden.

Unabhängig von der Anwendung der u. b. Gegenmaßnahmen, empfiehlt sich die zusätzliche Anwendung dieser Maßnahme in jedem Fall.

Gegenmaßnahmen

Vulnerability ID

Revisionen dieser Meldung

(og)

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2017 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/


https://cert.uni-stuttgart.de/ticker/article.php?mid=1416