Security Update
Auf Grund von zwei Sicherheitslücken, veröffentlichte Citrix ein Update für “Citrix Virtual Apps und Desktops”. Es werden dabei die Sicherheitslücken CVE-2020-8269 & CVE-2020-8270 geschlossen.
Es wird geraten möglichst zeitnah die neuen Updates zu installieren.
CVE-2020-8269
Ein nicht privilegierter Windows-Benutzer auf dem VDA kann eine beliebige Befehlsausführung als “SYSTEM” ausführen. Voraussetzungen: Der Angreifer muss ein authentifizierter Benutzer auf dem Windows VDA, mit Schreibzugriff auf das Verzeichnis “C: \” sein.
CVE-2020-8270
Ein nicht privilegierter Windows-Benutzer auf dem VDA oder ein SMB-Benutzer kann eine beliebige Befehlsausführung als “SYSTEM” ausführen.
Voraussetzungen: Der Angreifer muss ein authentifizierter Benutzer auf dem Windows VDA, oder eine Authentifizierung beim Windows SMB-Dienst auf dem VDA sein.
Betroffen sind folgende Releases:
- Citrix Virtual Apps and Desktops 2006 and earlier versions
- Citrix Virtual Apps and Desktops 1912 LTSR CU1 and earlier versions of 1912 LTSR
- Citrix XenApp / XenDesktop 7.15 LTSR CU6 and earlier versions of 7.15 LTSR
- Citrix XenApp / XenDesktop 7.6 LTSR CU8 and earlier versions of 7.6 LTSR