[TLP:CLEAR] NetScaler ADC a Gateway opravuje 2 zraniteľnosti
NetScaler opravuje 2 zraniteľnosti v produktoch NetScaler ADC a NetScaler Gateway. Možnosti overenia postihnutých inštancií je možné nájsť na [1]. Jednotlivé produkty a ich opravené verzie [1]: NetScaler Gateway - 14.1-29.72, 13.1-55.34 NetScaler ADC - 14.1-29.72, 13.1-55.34 NetScaler ADC FIPS - 13.1-37.207, 12.1-55.321 NetScaler ADC NDcPP - 12.1-55.321
Neautentizovanému vzdialenému útočníkovi je umožnené vykonať poškodenie dát v pamäti, čo môže taktiež spôsobiť nedostupnosť služby. Pre zneužitie zraniteľnosti je potrebné, aby bol systém nakonfigurovaný ako Gateway (VPN Vserver) s povolenou RDP funkcionalitou alebo ako Gateway (VPN Vserver) a RDP Proxy Server Profile je vytvorený a použitý alebo ako Auth Server (AAA Vserver) s povolenou RDP funkcionalitou [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:L/I:H/A:H
Viac informácií:
- CVE-2024-8534 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-119: Improper Restriction of Operations within the Bounds of a Memory Buffer at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 11. 2024.
Autentizovanému vzdialenému útočníkovi je umožnené neoprávnene pristupovať k niektorým súborom a priečinkom. Pre zneužitie zraniteľnosti musí byť systém nakonfigurovaný ako Gateway (SSL VPN, ICA Proxy, CVPN, RDP Proxy) s nakonfigurovaným KCDAccount pre Kerberos SSO na prístup k backendovým zdrojom alebo ako Auth Server (AAA Vserver) s nakonfigurovaným KCDAccount pre Kerberos SSO na prístup k backendovým zdrojom [1].
CVSS: CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:L/I:L/A:L
Viac informácií:
- CVE-2024-8535 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-552: Files or Directories Accessible to External Parties at cwe.mitre.org
Zraniteľnosť bola verejne oznámená 12. 11. 2024.
Publikoval Martin Krajči dňa 28. 11. 2024.
