lunes, 18 de septiembre de 2006

Salto de restricciones de seguridad en Citrix Access Gateway

Se ha identificado un problema de seguridad en Citrix Access Gateway
que puede ser aprovechado por atacantes para eludir ciertas
restricciones de seguridad.

El fallo se debe a un error en la opción Advanced Access Control a la
hora de utilizar la autenticación LDAP. Esto podría ser aprovechado
por atacantes para tener acceso a la aplicación vulnerable sin
proporcionar las credenciales válidas.

Las versiones afectadas son Citrix Access Gateway con Advanced Access
Control 4.2

Se recomienda aplicar el parche AAC420W004 descargable desde:
http://support.citrix.com/servlet/KbServlet/download/11002-102-15244/AAC420W004.zip


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Citrix Access Gateway Advanced Access Control LDAP Authentication Bypass
http://www.frsirt.com/english/advisories/2006/3643

LDAP authentication vulnerability in Access Gateway Advanced Access Control
http://support.citrix.com/article/CTX110950

Hotfix AAC420W004 - For Access Gateway - Advanced Access Control 4.2 for Windows Server 2000 & 2003
http://support.citrix.com/article/CTX110439