安全研究

安全漏洞
Citrix ICA Client服务器密钥验证漏洞

发布日期:2003-04-03
更新日期:2003-04-11

受影响系统:
Citrix ICA Client for Windows 6.31.1051
Citrix ICA Client for Windows 6.20.985
Citrix ICA Client for Windows 6.1
Citrix ICA Client for Solaris/x86 3.0.45
Citrix ICA Client for Solaris/x86 3.0.35
Citrix ICA Client for Solaris/Sparc 6.30.1061
Citrix ICA Client for OS X 6.30.314
Citrix ICA Client for Linux 6.30.1056
Citrix ICA Client for Linux 6.30.1054
Citrix ICA Client for Linux 6.30.1053
描述:
BUGTRAQ  ID: 7276

Citrix是一款远程桌面应用程序,类似Microsoft的终端服务程序。

Citrix ICA客户端没有验证会话的服务器公共密钥,远程攻击者可以利用这个漏洞通过Man-in-Middle攻击方式以明文方式读取通信的所有信息。

由于客户端在连接服务器初始化会话时,没有对服务器端密钥的合法性进行正确检查,这就导致存在中间人攻击问题。此漏洞类似"Microsoft Windows远程桌面协议服务器密钥验证漏洞(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=4651)描述的漏洞。

<*来源:Devin Heitmueller (dheitmueller@netilla.com
  
  链接:http://marc.theaimsgroup.com/?l=bugtraq&m=104941103424548&w=2
*>

建议:
厂商补丁:

Citrix
------
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:

http://www.citrix.com/site/SS/downloads/downloads.asp?dID=2755

浏览次数:3640
严重程度:0(网友投票)
本安全漏洞由绿盟科技翻译整理,版权所有,未经许可,不得转载
绿盟科技给您安全的保障