Vulnerability ID 5447

Citrix XenApp bis 6.5 Denial of Service

Citrix
CVSSv3 Temp ScoreAktueller Exploitpreis (≈)
7.2$0-$1k

Eine Schwachstelle wurde in Citrix XenApp bis 6.5 entdeckt. Sie wurde als kritisch eingestuft. Dies betrifft eine unbekannte Funktion. Mit der Manipulation mit einer unbekannten Eingabe kann eine Denial of Service-Schwachstelle ausgenutzt werden. Auswirken tut sich dies auf die Verfügbarkeit.

Die Schwachstelle wurde am 22.05.2012 durch XiaoPeng Zhang & Alex Chapman von FortiGuard Labs & Context Information Security als CTX133159 in Form eines bestätigten Knowledge Base Articles (Website) herausgegeben. Auf support.citrix.com kann das Advisory eingesehen werden. Umgesetzt werden kann der Angriff über das Netzwerk. Das Ausnutzen erfordert keine spezifische Authentisierung. Technische Details sind nicht bekannt und ein Exploit zur Schwachstelle ist ebenfalls nicht vorhanden.

Die Schwachstelle lässt sich durch das Einspielen eines Patches lösen. Dieser kann von support.citrix.com bezogen werden. Das Erscheinen einer Gegenmassnahme geschah direkt nach der Veröffentlichung der Schwachstelle. Citrix hat demzufolge sofort gehandelt.

Mitunter wird der Fehler auch in den Datenbanken von SecurityFocus (BID 53663), Secunia (SA49245) und SecurityTracker (ID 1027095) dokumentiert.

CVSSv3

Base Score: 7.5 [?]
Temp Score: 7.2 [?]
Vector: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H/E:X/RL:O/RC:C [?]
Zuverlässigkeit: Medium

CVSSv2

Base Score: 7.1 (CVSS2#AV:N/AC:M/Au:N/C:N/I:N/A:C) [?]
Temp Score: 6.2 (CVSS2#E:ND/RL:OF/RC:C) [?]
Zuverlässigkeit: Medium

AVACAuCIA
LHMNNN
AMSPPP
NLNCCC
VectorComplexityAuthenticationConfidentialityIntegrityAvailability
LocalHighMultipleNoneNoneNone
AdjacentMediumSinglePartialPartialPartial
NetworkLowNoneCompleteCompleteComplete

CPE

Exploiting

Klasse: Denial of Service
Lokal: Nein
Remote: Ja

Verfügbarkeit: Nein

Aktuelle Preisschätzung: $5k-$10k (0-day) / $0-$1k (Heute)

0-Day$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k
Heute$0-$1k$1k-$2k$2k-$5k$5k-$10k$10k-$25k$25k-$50k$50k-$100k$100k-$500k

Gegenmassnahmen

Empfehlung: Patch
Status: Offizieller Fix
Reaction Time: 0 Tage seit gemeldet
0-Day Time: 0 Tage seit gefunden
Exposure Time: 0 Tage seit bekannt

Patch: support.citrix.com

Timeline

22.05.2012 Advisory veröffentlicht
22.05.2012 +0 Tage Gegenmassnahme veröffentlicht
22.05.2012 +0 Tage SecurityFocus Eintrag zugewiesen
24.05.2012 +2 Tage OSVDB Eintrag erstellt
24.05.2012 +0 Tage SecurityTracker Eintrag erstellt
30.05.2012 +6 Tage VulDB Eintrag erstellt
07.12.2015 +1286 Tage VulDB Eintrag aktualisiert

Quellen

Advisory: CTX133159
Person: XiaoPeng Zhang & Alex Chapman
Firma: FortiGuard Labs & Context Information Security
Status: Bestätigt
SecurityFocus: 53663 - Citrix XenApp Unspecified Remote Denial Of Service Vulnerability
Secunia: 49245 - Citrix XenApp Unspecified Denial of Service Vulnerability, Less Critical
SecurityTracker: 1027095 - Citrix XenApp Unspecified Flaw Lets Remote Users Deny Service
OSVDB: 82138 - Citrix XenApp Unspecified Remote DoS

Eintrag

Erstellt: 30.05.2012
Aktualisierung: 07.12.2015
Eintrag: 81.8% komplett