2021年 12 月 10 日 Apache 軟體基金會最近公佈了 Apache Log4J2 JNDI LDAP和其他 JNDI 相關元件的漏洞(CVE-2021-4228)。
漏洞公佈後Citrix第一時間已快速動員安全和 IT 部門調查該問題並立即盡一切可能降低潛在的風險。
針對此問題Citrix官方的最新情況說明請參考:https://support.citrix.com/article/CTX335705
目前此漏洞對Citrix產品的影響說明如下:
產品 |
影響分析 |
Citrix ADC (NetScaler ADC) and Citrix Gateway (NetScaler Gateway) |
全平台 –不受此問題影響 |
Citrix Application Delivery Management (NetScaler MAS) |
不受此問題影響 |
Citrix Endpoint Management (Citrix XenMobile Server) |
受影響,建議客戶立即更新以下最新的CEM補丁以降低漏洞風險
CVE-2021-44228 and CVE-2021-45046: .XenMobile Server 10.14 RP2: https://support.citrix.com/article/CTX335763 .XenMobile Server 10.13 RP5: https://support.citrix.com/article/CTX335753 .XenMobile Server 10.12 RP10: https://support.citrix.com/article/CTX335785
CVE-2021-45105: .XenMobile Server 10.14 RP3: https://support.citrix.com/article/CTX335897 .XenMobile Server 10.13 RP6: https://support.citrix.com/article/CTX335875 .XenMobile Server 10.12 RP11: https://support.citrix.com/article/CTX335861
※注意: 建議已將XenMobile Server 升級到更新版本的客戶不要將Blog提及的響應策略,應用於XenMobile Server 前面的Citrix ADC 虛擬機,這有可能會影響Android 設備的註冊。
CVE-2021-44832: 分析調查中 |
Citrix Hypervisor (XenServer) |
不受此問題影響 |
Citrix License Server |
不受此問題影響 |
Citrix SD-WAN |
全平台 –不受此問題影響 |
Citrix ShareFile Storage Zones Controller |
不受此問題影響 |
Citrix Virtual Apps and Desktops (XenApp & XenDesktop) |
Linux VDA LTSR 所有版本 - 不受此問題影響 All other CVAD 元件 - 不受此問題影響
CVE-2021-44228 and CVE-2021-45046 Linux VDA(僅限非 LTSR 版本)- 受影響,建議客戶立即更新最新的更新以降低漏洞風險 .Linux Virtual Delivery Agent 2112: https://www.citrix.com/downloads/citrix-virtual-apps-and-desktops/components/linux-vda-2112.html
緩解措施: 無法立即升級的客戶可以在運行 VDA 的 Linux 機器上使用 root 權限執行以下命令,以防止 CVE-2021-44228 和 CVE-2021-45046:
cd /opt/Citrix/VDA/lib64 zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class
CVE-2021-45105: 分析結果顯示VDA不受影響,儘管如此,Linux VDA 2112 已更新(21.12.0.30,12 月 20 日發布)以包含 Apache log4j 版本 2.17.0。
CVE-2021-44832: 正在分析調查中 |
Citrix Workspace App |
不受此問題影響(所有版本) |
此外,Citrix WAF已針對此漏洞在第一時間做出了漏洞簽名更新,使用者使用Citrix WAF 可以避免此問題
我們將繼續監測並對Log4j 漏洞相關的新資訊做出回應