新聞中心

Citrix 針對Apache CVE-2021-42282的說明

Citrix 思杰 虛擬桌面應用存取架構
2021/12/29

2021年 12 月 10 日 Apache 軟體基金會最近公佈了 Apache Log4J2 JNDI LDAP和其他 JNDI 相關元件的漏洞(CVE-2021-4228)。
漏洞公佈後Citrix第一時間已快速動員安全和 IT 部門調查該問題並立即盡一切可能降低潛在的風險。
針對此問題Citrix官方的最新情況說明請參考:https://support.citrix.com/article/CTX335705


目前此漏洞對Citrix產品的影響說明如下:
 

產品

影響分析

Citrix ADC (NetScaler ADC) and

Citrix Gateway (NetScaler Gateway)

全平台不受此問題影響

Citrix Application Delivery

Management (NetScaler MAS)

不受此問題影響

Citrix Endpoint Management (Citrix XenMobile Server)

受影響,建議客戶立即更新以下最新的CEM補丁以降低漏洞風險

 

CVE-2021-44228 and CVE-2021-45046: 

XenMobile Server 10.14 RP2: https://support.citrix.com/article/CTX335763  

XenMobile Server 10.13 RP5: https://support.citrix.com/article/CTX335753 

XenMobile Server 10.12 RP10: https://support.citrix.com/article/CTX335785  

 

CVE-2021-45105: 

XenMobile Server 10.14 RP3: https://support.citrix.com/article/CTX335897 

XenMobile Server 10.13 RP6: https://support.citrix.com/article/CTX335875  

XenMobile Server 10.12 RP11: https://support.citrix.com/article/CTX335861 

 

注意: 建議已將XenMobile Server 升級到更新版本的客戶不要將Blog提及的響應策略,應用於XenMobile Server 前面的Citrix ADC 虛擬機,這有可能會影響Android 設備的註冊。

 

CVE-2021-44832: 分析調查中

Citrix Hypervisor (XenServer)

不受此問題影響

Citrix License Server

不受此問題影響

Citrix SD-WAN

全平台不受此問題影響

Citrix ShareFile Storage Zones

Controller

不受此問題影響

Citrix Virtual Apps and Desktops (XenApp & XenDesktop)

Linux VDA LTSR 所有版本 - 不受此問題影響

All other CVAD 元件  - 不受此問題影響

 

CVE-2021-44228 and CVE-2021-45046

Linux VDA(僅限非 LTSR 版本)- 受影響,建議客戶立即更新最新的更新以降低漏洞風險

Linux Virtual Delivery Agent 2112:  https://www.citrix.com/downloads/citrix-virtual-apps-and-desktops/components/linux-vda-2112.html  

 

緩解措施:

無法立即升級的客戶可以在運行 VDA Linux 機器上使用 root 權限執行以下命令,以防止 CVE-2021-44228 CVE-2021-45046

 

cd /opt/Citrix/VDA/lib64 

zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

 

CVE-2021-45105:

分析結果顯示VDA不受影響,儘管如此,Linux VDA 2112 已更新(21.12.0.3012 20 日發布)以包含 Apache log4j 版本 2.17.0

 

CVE-2021-44832: 正在分析調查中

Citrix Workspace App

不受此問題影響(所有版本)

 

此外,Citrix WAF已針對此漏洞在第一時間做出了漏洞簽名更新,使用者使用Citrix WAF 可以避免此問題

我們將繼續監測並對Log4j 漏洞相關的新資訊做出回應

我們將繼續監測並對Log4j 漏洞相關的新資訊做出回應

聯絡 我們