Vulnerabilidades en dispositivos Citrix Access Gateway

Se ha encontrado varias vulnerabilidades en los dispositivos Citrix Access Gateway que pueden ser aprovechadas por atacantes para obtenerinformación sensible.

El primer problema se debe a un fallo no especificado a la hora de usar Advanced Access Control como funcionalidad de Access Gateway. Los datos del dispositivo podrían ser obtenidos por un atacante sin privilegios para ello.

Los productos afectados son:

Access Gateway appliance 4.2

Access Gateway appliance 4.2.1

Access Gateway appliance 4.2.2

Access Gateway 4.5 Advanced Edition

Access Gateway 4.2 con Advanced Access Control 4.2 (Access Gateway 4.2

Advanced Edition)

Según versión, se recomienda actualizar a las versiones no vulnerables:

4.2.3 descargable desde http://support.citrix.com/article/CTX108902 ó

4.5 descargable desde https://secureportal.citrix.com/

Por otro lado, se han encontrado dos vulnerabilidades en Citrix Advanced Access Control que pueden ser aprovechadas por atacantes para eludir ciertas restricciones de seguridad.

Un fallo en la funcionalidad de acceso “Browser only” podría permitir a usuarios acceder a recursos protegidos. Otro error en el proceso de

login podría permitir a a usuarios tener acceso a esos recursos.

Las vulnerabilidades se han confirmado en Citrix Access Gateway distribuido con Advanced Access Control 4.0 y 4.2. Las versiones Access

Gateway Standard Edition y Access Gateway Enterprise Edition no se ven afectadas.