Vulnerabilidad TLS Padding Oracle en productos Citrix
Fecha de publicación 24/01/2019
Importancia
4 - Alta
Recursos Afectados
Se ven afectadas las plataformas que no se encuentran en la siguiente lista y que ejecutan las siguientes versiones de Citrix ADC y NetScaler Gateway, incluidas las instancias de Citrix ADC en plataformas SDX que utilizan aceleración de hardware mediante una función virtual asignada (VF):
- Citrix ADC y NetScaler Gateway versión 12.1 anterior a la build 50.31
- Citrix ADC and NetScaler Gateway versión 12.0 anterior a la build 60.9
- Citrix ADC and NetScaler Gateway versión 11.1 anterior a la build 60.14
- Citrix ADC and NetScaler Gateway versión 11.0 anterior a la build 72.17
- Citrix ADC and NetScaler Gateway versión 10.5 anterior a la build 69.5
Las siguientes plataformas no se ven afectadas y no requieren la actualización del firmware:
- MPX 5900 series
- MPX/SDX 8900 series
- MPX/SDX 15000-50G
- MPX/SDX 26000-50S series
- MPX/SDX 26000-100G series
- MPX/SDX 26000 series
- VPX
Descripción
Se ha identificado una vulnerabilidad en las plataformas Citrix Application Delivery Controller (ADC), formalmente conocido como NetScaler ADC, y NetScaler Gateway que podría permitir a un atacante explotar el dispositivo para descifrar el tráfico TLS.
Solución
- Los dispositivos Citrix ADC y NetScaler Gateway que han desactivado las suites de cifrado basadas en CBC no se ven afectados por esta vulnerabilidad. Citrix también recomienda priorizar los cifrados basados en GCM.
- Citrix recomienda que los clientes afectados apliquen la mitigación adecuada o actualicen todos sus dispositivos vulnerables (Citrix ADC y NetScaler Gateway) a una versión del firmware del dispositivo que contenga una solución para este problema lo antes posible.
Detalle
- La aceleración de hardware utilizada por las plataformas Citrix ADC y NetScaler Gateway podría permitir a un atacante explotar el dispositivo para descifrar el tráfico TLS. Esta vulnerabilidad no permite directamente a un atacante obtener la clave privada de TLS. Se ha reservado el identificador CVE-2019-6485 para esta vulnerabilidad.
Listado de referencias
Etiquetas