๐ Citrix bis 10.5 Administrative Web Interface Clickjacking erweiterte Rechte
๐ก Newskategorie: Sicherheitslรผcken
๐ Quelle: scip.ch
Allgemein
scipID: 81012
Betroffen: Citrix Netscaler Application Delivery Controller/Netscaler Gateway bis 10.5
Veröffentlicht: 17.02.2016
Risiko: kritisch
Erstellt: 18.02.2016
Eintrag: 66.8% komplett
Beschreibung
Es wurde eine Schwachstelle in Citrix Netscaler Application Delivery Controller sowie Netscaler Gateway bis 10.5 gefunden. Sie wurde als kritisch eingestuft. Es geht dabei um eine unbekannte Funktion der Komponente Administrative Web Interface. Durch Manipulieren mit einer unbekannten Eingabe kann eine erweiterte Rechte-Schwachstelle (Clickjacking) ausgenutzt werden. Mit Auswirkungen muss man rechnen für Vertraulichkeit, Integrität und Verfügbarkeit. CVE fasst zusammen:
The Administrative Web Interface in Citrix NetScaler Application Delivery Controller (ADC) and NetScaler Gateway 11.x before 11.0 Build 64.34, 10.5 before 10.5 Build 59.13, 10.5.e before Build 59.1305.e, and 10.1 allows remote attackers to conduct clickjacking attacks via unspecified vectors.
Die Schwachstelle wurde am 17.02.2016 publik gemacht. Die Verwundbarkeit wird unter CVE-2016-2072 geführt. Der Angriff kann über das Netzwerk erfolgen. Es sind weder technische Details noch ein Exploit zur Schwachstelle bekannt.
Ein Upgrade auf die Version 10.5 Build 59.13 oder 11.0 Build 64.34 vermag dieses Problem zu beheben. Schwachstellen ähnlicher Art sind dokumentiert unter 81011.CVSS
Base Score: 6.0 (CVSS2#AV:N/AC:M/Au:S/C:P/I:P/A:P) [?]
Temp Score: 5.2 (CVSS2#E:ND/RL:OF/RC:ND) [?]
CPE
- cpe:/a:citrix:netscaler_application_delivery_controller:10.0
- cpe:/a:citrix:netscaler_application_delivery_controller:10.1
- cpe:/a:citrix:netscaler_application_delivery_controller:10.2
- cpe:/a:citrix:netscaler_application_delivery_controller:10.3
- cpe:/a:citrix:netscaler_application_delivery_controller:10.4
- cpe:/a:citrix:netscaler_application_delivery_controller:10.5
- cpe:/a:citrix:netscaler_gateway:10.0
- cpe:/a:citrix:netscaler_gateway:10.1
- cpe:/a:citrix:netscaler_gateway:10.2
- cpe:/a:citrix:netscaler_gateway:10.3
- cpe:/a:citrix:netscaler_gateway:10.4
- cpe:/a:citrix:netscaler_gateway:10.5
Exploiting
Klasse: Erweiterte Rechte
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Aktuelle Preisschätzung: $10k-$25k (0-day) / $5k-$10k (Heute)
Gegenmassnahmen
Empfehlung: Upgrade
Status: Offizieller Fix
0-Day Time: 0 Tage seit gefunden
Upgrade: Netscaler Application Delivery Controller/Netscaler Gateway 10.5 Build 59.13/11.0 Build 64.34
Timeline
17.02.2016 | Advisory veröffentlicht
18.02.2016 | VulDB Eintrag erstellt
18.02.2016 | VulDB Eintrag aktualisiert
Quellen
CVE: CVE-2016-2072 (mitre.org) (nvd.nist.org) (cvedetails.com)
Siehe auch: 81011
...