AVIS CERTFR - 2023 - AVI - 0458

Objet : Multiples vulnérabilités dans les produits Citrix

Référence : CERTFR-2023-AVI-0458

Risque(s)

- Exécution de code arbitraire à distance
- Contournement de la politique de sécurité

Systèmes affectés

- Citrix Virtual Apps and Desktops versions antérieures à 2305
- Citrix Virtual Apps and Desktops 2203 LTSR sans le correctif de sécurité CU3
- Citrix Virtual Apps and Desktops 1912 LTSR sans le correctif de sécurité CU7
- Linux Virtual Delivery Agent versions antérieures à 2305
- Linux Virtual Delivery Agent 2203 LTSR sans le correctif de sécurité CU3
- Linux Virtual Delivery Agent 1912 LTSR sans le correctif de sécurité CU7 hotfix 1(19.12.7001)
- ShareFile storage zones controller versions antérieures à 5.11.24

Résumé

De multiples vulnérabilités ont été découvertes dans les produits Citrix. Elles permettent à un attaquant de provoquer une exécution de code arbitraire à distance et un contournement de la politique de sécurité.

Solution

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

Documentation

- Bulletin de sécurité Citrix CTX559370 du 13 juin 2023

https://support.citrix.com/article/CTX559370/windows-and-linux-virtual-delivery-agent-for-cvad-and-citrix-daas-security-bulletin-cve202324490

- Bulletin de sécurité Citrix CTX559517 du 13 juin 2023

https://support.citrix.com/article/CTX559517/sharefile-storagezones-controller-security-update-for-cve202324489

- Référence CVE CVE-2023-24490

https://www.cve.org/CVERecord?id=CVE-2023-24490

- Référence CVE CVE-2023-24489

https://www.cve.org/CVERecord?id=CVE-2023-24489

Dernière version du document

https://www.cert.ssi.gouv.fr/avis/CERTFR-2023-AVI-0458/