发布日期：2003-04-03
更新日期：2003-04-11

受影响系统：

Citrix ICA Client for Windows 6.31.1051
Citrix ICA Client for Windows 6.20.985
Citrix ICA Client for Windows 6.1
Citrix ICA Client for Solaris/x86 3.0.45
Citrix ICA Client for Solaris/x86 3.0.35
Citrix ICA Client for Solaris/Sparc 6.30.1061
Citrix ICA Client for OS X 6.30.314
Citrix ICA Client for Linux 6.30.1056
Citrix ICA Client for Linux 6.30.1054
Citrix ICA Client for Linux 6.30.1053

描述：

---

BUGTRAQ  ID: 7276

Citrix是一款远程桌面应用程序，类似Microsoft的终端服务程序。

Citrix ICA客户端没有验证会话的服务器公共密钥，远程攻击者可以利用这个漏洞通过Man-in-Middle攻击方式以明文方式读取通信的所有信息。

由于客户端在连接服务器初始化会话时，没有对服务器端密钥的合法性进行正确检查，这就导致存在中间人攻击问题。此漏洞类似"Microsoft Windows远程桌面协议服务器密钥验证漏洞(http://www.nsfocus.net/index.php?act=sec_bug&do=view&bug_id=4651)描述的漏洞。

<*来源：Devin Heitmueller （dheitmueller@netilla.com）
  
  链接：http://marc.theaimsgroup.com/?l=bugtraq&m=104941103424548&w=2
*>

建议：

---

厂商补丁：

Citrix
------
目前厂商还没有提供补丁或者升级程序，我们建议使用此软件的用户随时关注厂商的主页以获取最新版本：

http://www.citrix.com/site/SS/downloads/downloads.asp?dID=2755

浏览次数：3623
严重程度：0（网友投票）