Citrix ADC 13.0-67.43 Release

发行日期：2020年11月20日

重要事项：

内部版本13.0-67.43 和更高版本的内部版本解决了以下内容中描述的安全漏洞

https://support.citrix.com/article/CTX281474

https://support.citrix.com/article/CTX282684

有关增强功能和已知问题的列表，请参阅发行说明Citrix ADC 13.0-67.43

有关该版本的详细文档，请参阅 Citrix ADC 13.0。

从Citrix ADC功能版本13.0 build 67.43及更高版本开始，全局禁用了以下SSO类型。

基本认证
摘要访问认证
没有协商NTLM2密钥或协商符号的NTLM

升级之前，请按照本文档进行SSO配置更改。

https://docs.citrix.com/zh-CN/citrix-adc/13/aaa-tm/enable-sso-for-auth-pol.html

支持的Citrix ADC平台：

请参阅http://support.citrix.com/article/CTX113357 ，以获取有关Citrix ADC硬件/软件兼容性列表的更新。

请注意：

Citrix Secure Web Gateway需要其自己的平台许可证。请与您当地的Citrix销售代表联系以购买许可证。

==========

13.0-67.43（功能阶段）

发行说明Citrix ADC 13.0-67.43

VPX软件包，用于全新安装

适用于Citrix Hypervisor 13.0 Build 67.43的Citrix ADC VPX

2020年11月20日

539 MB - （.gz）

校验和

SHA-256-45053fbef0e802b6fdfe20ebcc2bfeefa26804baaafa111db7a3f07cc6ba5e28

适用于ESXi 13.0 Build 67.43的Citrix ADC VPX

2020年11月20日

578 MB - （.zip）

校验和

SHA-256-3dfe76c05b18ddaf1efc43a44effaba0106f0f17a342d77828661e16e4e474cd

适用于Hyper-V 13.0 Build 67.43的Citrix ADC VPX

2020年11月20日

543 MB - （.zip）

校验和

SHA-256-c923e49753e7a647c92c031de0e315545d72df96c06063d8080a27d080e3df28

适用于KVM 13.0 Build 67.43的Citrix ADC VPX

2020年11月20日

688 MB - （.tgz）

校验和

SHA-256-27ed81795f3af3078cb875966b5b7c11019e2f547724f75f1bb6fe72023f58c3

用于GCP 13.0 Build 67.43的Citrix ADC VPX

2020年11月20日

688 MB - （.tgz）

校验和

SHA-256-7fb3839ad08bc7b403141a79ebdc7cdf76a40476465437bdf4196422db0adefa

现有VPX实例的升级程序包

Citrix ADC升级软件包-13.0 Build 67.43（nCore）

2020年11月20日

783 MB - （.tgz）

校验和

SHA-256-d9f57d37269a7e29800378cef436b023045e4c36f3b1bcfa287d9cb0fbda987b

==========

Citrix Application Delivery Controller，Citrix网关和Citrix SD-WAN WANOP设备安全更新

来源 https://support.citrix.com/article/CTX281474

问题描述

在Citrix ADC（以前称为NetScaler ADC），Citrix网关（以前称为NetScaler Gateway）和Citrix SD-WAN WANOP设备模型4000-WO，4100-WO，5000-WO和5100-WO中发现了多个漏洞。如果利用这些漏洞，可能会导致以下安全问题：

CVE ID	描述	漏洞类型	受影响的产品	前提条件
CVE-2020-8245	针对SSL VPN网站门户的HTML注入攻击	CWE-79：网页生成过程中输入的不适当中和	Citrix ADC，Citrix网关	在SSL VPN网站上需要经过身份验证的受害者，该受害者必须在浏览器中打开攻击者控制的链接
CVE-2020-8246	来自管理网络的拒绝服务攻击	CWE-400：不受控制的资源消耗	Citrix ADC，Citrix网关，Citrix SDWAN WAN-OP	未经身份验证的攻击者，可以访问管理网络
CVE-2020-8247	管理界面上的特权升级	CWE-269：权限管理不当	Citrix ADC，Citrix网关，Citrix SDWAN WAN-OP	攻击者必须拥有特权才能在管理界面上执行任意命令

在以下受支持的版本中解决了该漏洞：

Citrix ADC和Citrix Gateway 13.0-64.35及更高版本
Citrix ADC和NetScaler Gateway 12.1-58.15及更高版本
Citrix ADC 12.1-FIPS 12.1-55.187及更高版本
Citrix ADC和NetScaler Gateway 11.1-65.12及更高版本
Citrix SD-WAN WANOP 11.2.1a和更高版本
Citrix SD-WAN WANOP 11.1.2a和更高版本
Citrix SD-WAN WANOP 11.0.3f及更高版本
Citrix SD-WAN WANOP 10.2.7b及更高版本

客户应注意，已达到维护终止期限的Citrix ADC和Citrix Gateway 12.0受这些漏洞的影响。Citrix建议使用此版本的客户升级到解决这些问题的更高版本。

此外，以上版本的Citrix ADC，Citrix网关和Citrix SD-WAN WANOP中已添加了安全增强功能，以帮助保护客户免受HTTP Request Smuggling攻击。客户可以使用Citrix ADC管理界面启用这些增强功能。有关更多信息，请参阅https://support.citrix.com/article/CTX282268。

缓解因素

这三个漏洞中的两个源自Citrix ADC，Citrix Gateway和Citrix SD-WAN WANOP的管理界面。Citrix强烈建议将到设备管理界面的网络流量从物理或逻辑上与正常网络流量分开。这样做大大降低了剥削的风险。有关更多信息，请参阅https://docs.citrix.com/zh-cn/citrix-adc/citrix-adc-secure-deployment/secure-deployment-guide.html。

客户应该做什么

已发布适用于Citrix ADC，Citrix Gateway和Citrix SD-WAN WANOP版本的固定版本。Citrix建议受影响的客户在修补计划允许后尽快安装这些更新。

致谢

Citrix感谢F-Secure的Knud，对手仿真团队的Arsenii Pustovit（加拿大皇家银行），SySS GmbH的Moritz Bechler，瑞典Wisearc Advisors的Johan Georges，EY Consulting的Vasilis Maritsas，成员Juan JuanOrdoñezNoriega， RedTeam CSIETE和Ricardo Iramar Dos Santos的团队与我们合作保护了Citrix客户。

==========

适用于Windows的Citrix Gateway插件安全更新

来源 https://support.citrix.com/article/CTX282684

问题描述

在Windows的Citrix Gateway插件中已发现漏洞，如果加以利用，则可能导致本地用户将其特权级别提升为SYSTEM。

漏洞具有以下标识符：

CVE-2020-8257
CVE-2020-8258

这些漏洞影响以下受支持的Windows Citrix网关插件版本：

拥有Citrix ADC或Citrix Gateway的客户：

适用于Windows的Citrix Gateway插件13.0 64.35之前的版本
适用于Windows的Citrix Gateway插件12.1 59.16之前的版本

拥有Citrix ADC 12.1-FIPS的客户：

适用于Windows的Citrix Gateway插件12.1 55.190之前

这些漏洞不会影响其他平台上的Citrix Gateway插件。

适用于Windows 11.1的Citrix Gateway插件不受这些漏洞的影响。其他版本现已停产，不再受支持。

下列受支持的Citrix ADC版本（以前称为NetScaler ADC）和Citrix Gateway（以前称为NetScaler Gateway）包括受影响的Citrix Gateway插件版本，以便在用户连接到Citrix Gateway时将其分发给用户：

64.35之前的Citrix ADC和Citrix Gateway 13.0
在59.16之前的NetScaler ADC和NetScaler Gateway 12.1
Citrix ADC 12.1-FIPS在55.190之前

客户应该做什么

Citrix强烈建议：

具有Citrix Gateway的客户和使用Citrix ADC的SSL VPN组件的客户将升级到包含并分发Citrix Gateway Plug-in Windows固定版本的版本。

和

如果客户的用户使用的Windows Citrix Gateway插件版本易受攻击，请确保他们尽快升级到Windows的Citrix Gateway插件固定版本。当他们登录到Citrix ADC或Citrix Gateway的受支持版本或通过从Citrix.com安装兼容的固定版本时，可以实现此目的。

以下版本的Windows Citrix Gateway插件已解决了这些问题：

拥有Citrix ADC或Citrix Gateway的客户：

适用于Windows 64.35和更高版本的Citrix Gateway插件13.0
适用于Windows 59.16和更高版本的Citrix Gateway插件12.1

拥有Citrix ADC 12.1-FIPS的客户：

适用于Windows 55.190和更高版本的Citrix Gateway插件12.1

适用于Windows的Citrix Gateway插件的最新版本可从以下网站获得：

https://www.citrix.com/downloads/citrix-gateway/plug-ins/

请注意，与Citrix ADC 12.1-FIPS兼容的Citrix Gateway插件版本直接从Citrix ADC 12.1-FIPS交付，而Citrix.com不提供。

下列版本的Citrix ADC和Citrix Gateway中包含用于Windows的Citrix Gateway插件的固定版本：

Citrix ADC和Citrix Gateway 13.0-64.35及更高版本
NetScaler ADC和NetScaler Gateway 12.1-59.16及更高版本
Citrix ADC 12.1-FIPS 55.190及更高版本

可从以下位置获得最新版本的Citrix ADC和Citrix Gateway：

https://www.citrix.com/downloads/citrix-adc/

https://www.citrix.com/downloads/citrix-gateway/

致谢

Citrix感谢Cymptom（@chen_erlich）的Chen Erlich与我们合作保护Citrix客户。

=========== End