VulDB: Citrix Access Gateway bis 5.0.4 Eingabe Directory Traversal
Allgemein
scipID: 5904
Betroffen: Citrix Access Gateway bis 5.0.4
Veröffentlicht: 31.07.2012
Risiko: 
problematisch
Eintrag: 81.2% komplett
Erstellt: 10.08.2012
Beschreibung
Es wurde eine problematische Schwachstelle in Citrix Access Gateway bis 5.0.4 entdeckt. Betroffen hiervon ist eine unbekannte Funktion. Dank der Manipulation mit der Eingabe ../../ kann eine Directory Traversal-Schwachstelle ausgenutzt werden. Dadurch lässt sich Dateien lesen. Das hat Auswirkungen auf Vertraulichkeit und Integrität.
Die Schwachstelle wurde am 31.07.2012 als CTX133648 in Form eines Advisorys (Website) publik gemacht. Das Advisory kann von support.citrix.com heruntergeladen werden. Der Angriff kann über das Netzwerk erfolgen. Zur Ausnutzung ist keine spezifische Authentisierung erforderlich. Es sind zwar technische Details, jedoch kein verfügbarer Exploit zur Schwachstelle bekannt.
Als bestmögliche Massnahme wird das Einspielen des entsprechenden Patches empfohlen. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Citrix hat sofort reagiert. Mitunter wird der Fehler auch in den Datenbanken von OSVDB (84431) und Secunia (SA50140) dokumentiert.CVSS
Base Score: 5.8 (CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N) [?]
| Access Vector | Access Complexity | Authentication | Confidentiality | Integrity | Availability |
|---|---|---|---|---|---|
| Local | High | Multiple | None | None | None |
| Adjacent | Medium | Single | Partial | Partial | Partial |
| Network | Low | None | Complete | Complete | Complete |
CPE
- cpe:/a:citrix:access_gateway:5.0.4
Exploiting
Klasse: Directory Traversal
Auswirkungen: Dateien lesen
Lokal: Nein
Remote: Ja
Verfügbarkeit: Nein
Gegenmassnahmen
Empfehlung: Patch
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt
Timeline
31.07.2012 | Advisory veröffentlicht
31.07.2012 | Gegenmassnahme veröffentlicht
03.08.2012 | OSVDB Eintrag erstellt
10.08.2012 | VulDB Eintrag erstellt
10.08.2012 | VulDB Eintrag aktualisiert
Quellen
Advisory: CTX133648
