漏洞情报 | Citrix发布安全通告修复多个漏洞

0x01 漏洞描述

Citrix相关组件是美国思杰系统（Citrix Systems）公司提供的一套网络管理、防火墙、网关等功能的集成化平台。

Citrix ADC是整体式和基于微服务的应用交付和负载均衡解决方案；Citrix Gateway为远程网络访问提供安全连接；Citrix SD-WAN WANOP设备用于优化WAN链接。

360漏洞云监测到Citrix发布安全通告，修复了Citrix ADC、Citrix Gateway和Citrix SD-WAN WANOP产品的多处安全漏洞。

• CVE-2021-22919 有限的磁盘空间消耗
• CVE-2021-22920 通过钓鱼攻击劫持SAML认证窃取用户会话
• CVE-2021-22927 SAML SP上授权用户的会话固定

0x02 危害等级

高危

0x03 影响版本

Citrix ADC and Citrix Gateway 13.0 <13.0-82

Citrix ADC and Citrix Gateway 12.1 <12.1-62

Citrix ADC and NetScaler Gateway 11.1 <11.1

Citrix ADC 12.1-FIPS <12.1-55.247

Citrix SD-WAN WANOP Edition 11.4 <11.4.0.a

Citrix SD-WAN WANOP Edition 11.3 <11.3.2.a

Citrix SD-WAN WANOP Edition 11.2 <11.2.3.b

Citrix SD-WAN WANOP Edition 10.2 <10.2.9.b 

0x04 修复版本

Citrix ADC and Citrix Gateway 13.0-82.45 

Citrix ADC and Citrix Gateway 12.1-62.27 

Citrix ADC and NetScaler Gateway 11.1-65.22

Citrix ADC 12.1-FIPS 12.1-55.247

Citrix SD-WAN WANOP Edition 11.4.0.a

Citrix SD-WAN WANOP Edition 11.3.2.a

Citrix SD-WAN WANOP Edition 11.2.3.b

Citrix SD-WAN WANOP Edition 10.2.9.b 

0x05 修复建议

厂商已发布升级修复漏洞，用户请尽快更新至安全版本。