Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Citrix Bleed – uważajcie na podatność umożliwiającą przejmowanie urządzeń Citrix NetScaler. CVE-2023-4966

27 października 2023, 11:38 | W biegu | 0 komentarzy
Tagi: , ,

Podatność została już załatana, a opisana jest dość niewinnie, tj. jako: „Sensitive information disclosure„. Coż to za „sensytywne informacje”, których wyciek zasługuje aż na ocenę 9.4/10 jeśli chodzi o skalę krytyczności?

Okazuje się, że naprawdę prostym żądaniem HTTP (odpowiednio duża liczba znaków w nagłówku HTTP Host), można pobrać fragmenty pamięci z urządzenia (pamiętacie Heartbleed?). A w pamięci dostępne są np. ciastka sesyjne umożliwiające przejęcie konta innego zalogowanego do urządzenia użytkownika (przejęcie to nie wymaga oczywiście loginu czy hasła).

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz