Eine Pufferüberlaufschwachstelle in verschiedenen Produkten von Citrix kann von einem Angreifer dazu ausgenutzt werden, beliebigen Programmcode auf dem beherbergenden Rechnersystem mit administrativen Privilegien auszuführen. Dazu ist es lediglich erforderlich, dass der Angreifer in der Lage ist, ein entsprechend präpariertes Datenpaket an ein verwundbares System zu schicken. Citrix stellt Patches zur Behebung der Schwachstelle bereit.

Betroffene Systeme

• MetaFrame Presentation Server 3.0 für Microsoft Windows 2000
• Citrix MetaFrame Presentation Server 3.0 für Microsoft Windows 2003
• Citrix Presentation Server 4.0 für Microsoft Windows 2000
• Citrix Presentation Server 4.0 für Microsoft Windows 2003
• Citrix Presentation Server 4.0 x64 Edition
• Citrix Presentation Server 4.5 für Windows Server 2003 Russian Edition
• Citrix Presentation Server 4.5 für Windows Server 2003
• Citrix Presentation Server 4.5 für Windows Server 2003 x64 Edition
• Citrix Access Essentials 1.0
• Citrix Access Essentials 1.5
• Citrix Access Essentials 2.0
• Citrix Desktop Server 1.0
• Citrix Desktop Server 1.0 x64

Einfallstor
Ports 2512/tcp und 2513/tcp

Angriffsvoraussetzung
Zugriff auf eine Netzwerkverbindung, über die Pakete an ein verwundbares System gesandt werden kann

Angriffsvektorklasse
über eine Netzwerkverbindung
(remote)

Auswirkung
Ausführung beliebigen Programmcodes auf dem beherbergenden Rechnersystem mit administrativen Privilegien
(system compromise)

Typ der Verwundbarkeit
Pufferüberlaufschwachstelle
(buffer overflow bug)

Gefahrenpotential
sehr hoch
(Hinweise zur Einstufung des Gefahrenpotentials.)

Kontext
Der Independent Management Architecture (IMA) Service ist ein Dienst, der es verschiedenen Citrix Presentation Servers innerhalb einer verbundenen Infrastruktur (Farm) ermöglicht, zu kommunizieren. Bis auf das Lizenzmanagement benötigen sämtliche Komponenten IMA für die Kommunikation untereinander.

Beschreibung
Eine Schwachstelle im IMA Service verschiedener Citrix-Server-Produkte kann von einem Angreifer Dazu ausgenutzt werden, einen heap overflow zu provozieren und in der Folge beliebigen Programmcode mit adminsitrativen den Privilegien auf dem beherberghenden Rechnersystem auszuführen.

Zur erfolgreichen Ausnutzung der Schwachstelle ist lediglich erforderlich, dass der Angreifer in der Lage ist, speziell formulierte Pakete an die IMA-Ports 2512/tcp und 2513/tcp zu senden.

Workaround

• Einschränkung des Zugriffs auf die Ports 2512/tcp und 2513/tcp mittels eines geeigneten Firewallsystems auf Systeme, die den Zugriff für die einwandfreie Funktion einer Installation benötigen. Dies sind i.A. die Mitglieder einer Serverfarm, die mittels IMA kommunizieren.

Unabhängig von der Anwendung der u. b. Gegenmaßnahmen, empfiehlt sich die zusätzliche Anwendung dieser Maßnahme in jedem Fall.

Gegenmaßnahmen

• Installation des im Citrix-Dokument CTX114487 angegebenen Hotfixes.

Vulnerability ID

• CVE-2008-0356

Revisionen dieser Meldung

• V 1.0 (2007-10-18)
• V 1.1 (2007-10-30): CVE-Name hinzugefügt

Hinweis
Die in diesem Text enthaltene Information wurde für die Mitglieder der Universität Stuttgart recherchiert und zusammengestellt. Die Universität Stuttgart übernimmt keinerlei Haftung für die Inhalte. Dieser Artikel darf ausschließlich in unveränderter Form und nur zusammen mit diesem Hinweis sowie dem folgenden Copyrightverweis veröffentlicht werden. Eine Veröffentlichung unter diesen Bedingungen an anderer Stelle ist ausdrücklich gestattet.

Copyright © 2022 RUS-CERT, Universität Stuttgart, https://cert.uni-stuttgart.de/