E’ stato recentemente diffuso un importante bollettino di sicurezza (CVE-2014-0160) relativo ad un importante vulnerabilità nella libraria di crittografia di openssl. Vediamo assieme l’impatto di questa vulnerabilità sui prodotti Citrix.
Tramite questa vulnerabilità è possibile ottenere la chiave utilizzata dal nostro certificato X.509 e quindi avere accesso alle informazioni così cifrate. Il rischi legato a questo bug è estremamente alto ed è stato creato anche un sito ad-hoc (http://heartbleed.com/) proprio per evidenziare l’elevato impatto: sono infatti moltissimi i prodotti anche commerciali che fanno uso di queste librerie per gestire la cifratura in SSL/TSL.
Il bug è stato introdotto nel Dicembre 2011 a partire dalla versione OpenSSL 1.0.1 fino alla versione 1.0.1f inclusa. Le versioni antecedenti questa data non sono affette dal problema.
Citrix ha pubblicato un articolo dedicato a questo problema:
- Citrix NetScaler: non è affetto dal problema
- Citrix Secure Gateway: non è affetto dal problema
- Citrix StoreFront: non è affetto dal problema
- Citrix WebInterface: utilizza le funzioni del Web Server
Innanzitutto Citrix fa riferimento esclusivamente alle versioni attualmente supportate dei suoi prodotti!
Per quanto riguarda la WebInterface, le versioni java installate su web server Apache potrebbero essere soggette alla vulnerabilità.
Ancora in fase di analisi gli altri prodotti (per esempio le funzioni di SSL Relay di XA/XD).
Aggiornamento: attualmente l’unico prodotto afflitto dal bug è l’App Controller di XenMobile nelle ultime versioni. Una fix e attesa in tempi brevi.
Aggiornamento 2: Citrix ha completato l’analisi dei prodotti e la lista di quelli afflitti dal bug è aumentata. Ecco l’eelnco dei prodotti che necessitano un aggiornamento:
- Citrix XenMobile App Controller, versioni 2.9 e 2.10
- Citrix XenMobile MDX Toolkit & SDK, versioni 2.2.1 (XenMobile 8.6.1) e 2.3.61 (XenMobile 8.7)
- Citrix XenMobile Worx components for iOS, versione 8.7
- Receiver for BlackBerry, versione 2.0.0.21
- Citrix Licensing, versione 11.11.1 per Windows e 11.12 VPX
- Citrix CloudPlatform, versioni 4.2.0, 4.2.1-x e 4.3.0.0
- Citrix XenClient XT, versioni 3.1.4, 3.2.0, e 3.2.1
- Citrix XenClient Enterprise, versioni 4.1.0, 4.1.1, 4.1.2, 4.1.3, 4.1.4, 4.5.1, 4.5.2, 4.5.3, 4.5.4, 4.5.5, 5.0.0, 5.0.1, 5.0.2, 5.0.3, 5.0.4 e 5.0.5
- Citrix DesktopPlayer for Mac, tutte le versioni fino alla 1.0.3 (inclusa)
Data la complessità e la frequenza degli aggironamenti, vi consiglio di consultare il documento CTX140605.
Per ulteriori informazioni: