Open Source im professionellen Einsatz

DFN-CERT-2017-1047 Citrix XenMobile Server: Eine Schwachstelle ermöglicht das Ausspähen von Informationen [VMware][Netzwerk]

19.06.2017

Liebe Kolleginnen und Kollegen,

bitte beachten Sie die folgende Sicherheitsmeldung.

Betroffene Software:

XenMobile Device Manager Server 9.x
XenMobile Device Manager Server < 10.5 RP3
XenMobile Device Manager Server 10.x


Betroffene Plattformen:

Citrix XenServer
Microsoft Hyper-V
VMware ESXi



Eine nicht näher beschriebene Schwachstelle in Citrix XenMobile Server
ermöglicht einem entfernten, nicht authentisierten Angreifer über nicht
näher beschriebene Vektoren Informationen auszuspähen.

Citrix bestätigt die Verwundbarkeit aller Versionen von Citrix XenMobile 9.x
und 10.x und stellt Citrix XenMobile 10.5 Rolling Patch 3 als
Sicherheitsupdate bereit. Citrix empfiehlt Benutzern von XenMobile das
Update schnellstmöglich einzuspielen.


Patch:

Citrix Security Bulletin CTX220138

<https://support.citrix.com/article/CTX220138>


CVE-2017-9231: Schwachstelle in Citrix XenMobile Server ermöglicht Ausspähen
von Informationen

Eine nicht näher beschriebene Schwachstelle bei der Verarbeitung von XML
External Entitäten (XXE) in Citrix XenMobile Server 9.x und 10.x vor Version
10.5 RP3 ermöglicht einem Angreifer sensitive Informationen zu erlangen.


Referenzen:

Dieses Advisory finden Sie auch im DFN-CERT Portal unter:
<https://portal.cert.dfn.de/adv/DFN-CERT-2017-1047/>

Citrix Security Bulletin CTX220138:
<https://support.citrix.com/article/CTX220138>

Schwachstelle CVE-2017-9231 (NVD):
<http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2017-9231>


(c) DFN-CERT Services GmbH, all rights reserved!
Die Weiterverbreitung ist mit Hinweis auf den Copyrightinhaber innerhalb der
eigenen Einrichtung erlaubt. Eine darüber hinausgehende Verbreitung bedarf
des schriftlichen Einverständnisses des Rechteinhabers.

Ausgabe 09/2017

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.