Citrix NetScaler

Citrix ADC および Citrix SD-WAN 脆弱性情報 CVE-2019-19781について

2020/1/27: 更新情報
対策版ファームウェアリリーススケジュール
バージョン リリース予定日
Citrix ADC
10.5 2020年1月24日(リリース済)
11.1 2020年1月20日(リリース済)
12.0 2020年1月20日(リリース済)
12.1 2020年1月24日(リリース済)
13.0 2020年1月24日(リリース済)
Citrix SD-WAN
10.2.6 2020年1月24日(リリース済)
11.0.3 2020年1月24日(リリース済)

Citrix社ダウンロードサイトからのダウンロードが可能です。

Citrix ADC
https://www.citrix.com/downloads/citrix-adc/
Citrix SD-WAN
https://www.citrix.com/downloads/citrix-sd-wan/

2020/1/24: 更新情報
対策版ファームウェアリリーススケジュール
バージョン リリース予定日
Citrix ADC
10.5 2020年1月24日
11.1 2020年1月20日(リリース済)
12.0 2020年1月20日(リリース済)
12.1 2020年1月24日(リリース済)
13.0 2020年1月24日(リリース済)
Citrix SD-WAN
10.2.6 2020年1月24日(リリース済)
11.0.3 2020年1月24日(リリース済)

Citrix社ダウンロードサイトからのダウンロードが可能です。

Citrix ADC
https://www.citrix.com/downloads/citrix-adc/
Citrix SD-WAN
https://www.citrix.com/downloads/citrix-sd-wan/

2020/1/20: 更新情報
CTX267027ですが、v11.1とv12.0の修正バージョンがリリースされました。

Citrix社ダウンロードサイトからのダウンロードが可能です。
https://www.citrix.com/downloads/

具体的なダウンロードページとしては、以下リンク先Citrix Blogの、"here" のリンクが有効です。
https://www.citrix.com/blogs/2020/01/19/vulnerability-update-first-permanent-fixes-available-timeline-accelerated/
Permanent fixes for ADC versions 11.1 and 12.0 are available as downloads here and here.

対策版ファームウェアリリーススケジュール
バージョン リリース予定日
Citrix ADC
10.5 2020年1月24日
11.1 2020年1月20日(リリース済)
12.0 2020年1月20日(リリース済)
12.1 2020年1月24日
13.0 2020年1月24日
Citrix SD-WAN
10.2.6 2020年1月24日
11.0.3 2020年1月24日

2020/1/17: 更新情報
■脆弱性問題内容
「認証されていない第三者が任意のコードを実行できる」というものとなります。

■対象製品
Citrix ADC :サポートされているすべての製品バージョンとサポートされているプラットフォーム
Citrix SD-WAN: WANOPソフトウェアおよびアプライアンスモデル4000、4100、5000、および5100すべてのサポートされているビルド
※サポートされていない製品バージョンとプラットフォームについても影響があると考えられ、緩和策が有効と推測されます。

■脆弱性問題の影響を被ったかの確認
httpd access logs (/var/log/httpaccess.log)におきまして、「/vpns/」「/../」に対して、Curl等のツールよりアクセスされている場合には、悪意ある攻撃者よりスキャンを受けている可能性が高いと推察されます。

■恒久対策
対策版ファームウェアのリリース待ちです。
現時点で以下の予定日でのリリースを予定しています。

バージョン リリース予定日
Citrix ADC
10.5 2020年1月31日
11.1 2020年1月20日
12.0 2020年1月20日
12.1 2020年1月27日
13.0 2020年1月27日
Citrix SD-WAN
10.2.6 2020年1月27日
11.0.3 2020年1月27日

■暫定緩和策
現時点での暫定対策は以下となります。
CTX267679:Mitigation Steps for CVE-2019-19781
https://support.citrix.com/article/CTX267679

■暫定緩和策時の影響
本暫定緩和策は予期せぬ通信時にアクセスされる レスポンス画面への対策であるため、 Network スループットやレスポンスおよびリソースなどのサービスへの性能的な影響はございません。

■恒久対策後の緩和対策をどうすれば良いか
恒久対策後は、緩和対策は不要になると思われます。

2020/1/14: 更新情報
現在の[CVE-2019-19781] への対応ファームウェアのリリース予定は以下となります。
バージョン リリース予定日
10.5 2020年1月31日
11.1 2020年1月20日
12.0 2020年1月20日
12.1 2020年1月27日
13.0 2020年1月27日
なお、リリース日程は変更される場合もございますので、予めご了承ください。
2020/1/9: 更新情報
現状、[CVE-2019-19781] への対応ファームウェアのリリース予定は以下となります。

13.0 2020年1月〜2月ごろ
12.1 2020年1月〜2月ごろ
12.0 2020年1月〜2月ごろ
11.1 2020年3月〜4月ごろ

なお、リリース日程は変更される場合もございますので、予めご了承ください。

Citrix ADC製品において以下の脆弱性情報が発表されております。

CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller and Citrix Gateway
https://support.citrix.com/article/CTX267027
https://www.citrix.com/blogs/2019/12/27/citrix-adc-citrix-gateway-cve-2019-19781-vulnerability/

本脆弱性への対策について、Citrix にて修正版リリースに向けた開発中となります。

なお、現時点での暫定対策は以下となります。

CTX267679:Mitigation Steps for CVE-2019-19781
https://support.citrix.com/article/CTX267679

状況に進展が有りましたら、本ページ情報を更新いたします。
製品に関するお問合わせはこちら

製品&ソリューション