更新：Citrix ADC および Citrix Gateway における任意のコード実行の脆弱性（CVE-2019-19781）について

最終更新日：2020年1月27日

※

追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Citrix ADC および Citrix Gateway は、ネットワークを構築するためのアプライアンス製品です。

この Citrix ADC および Citrix Gateway において、任意のコード実行の脆弱性が確認されています。

この脆弱性が悪用された場合、遠隔の第三者によって、任意のコードが実行され、結果としてデータが改ざんされたり流出したりする可能性があります。

2020年1月17日現在、製品開発者から修正済みのバージョンは提供されていません。

---2020/1/27 更新---
2020年1月27日現在、製品開発者から修正済みのバージョンが提供されております。

製品開発者が公表している手順に従いアップデートするか、設定変更による攻撃の緩和を実施してください。

すでに悪用が確認されており、今後被害が拡大する可能性があるため、至急、対策を実施してください。

影響を受けるシステム

Citrix ADC および Citrix Gateway version 13.0
Citrix ADC および NetScaler Gateway version 12.1
Citrix ADC および NetScaler Gateway version 12.0
Citrix ADC および NetScaler Gateway version 11.1
Citrix NetScaler ADC および NetScaler Gateway version 10.5
Citrix SD-WAN WANOP software および appliance model 4000, 4100, 5000, 5100

※

上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。

対策

1.脆弱性の解消 - 修正プログラムの適用

---2020/1/27 更新---
2020年1月27日現在、「影響を受けるシステム」に記載の全てのバージョンにおいて製品開発者から修正プログラムが提供されております。

ベンダから提供されている修正プログラムを適用して下さい。詳細は下記リンクよりご確認ください。

CVE-2019-19781 - Vulnerability in Citrix Application Delivery Controller, Citrix Gateway, and Citrix SD-WAN WANOP appliance

2.脆弱性の暫定的な回避策

製品開発者が公表している手順に従い、設定変更による攻撃の暫定的な回避策を実施してください。詳細は下記リンクよりご確認ください。

Mitigation Steps for CVE-2019-19781

製品開発者によると、Citrix ADC version 51.16、 51.19 および 50.31 より前の Citrix ADC リリース 12.1 ビルドでは、不具合により緩和策が適切に機能しないとのことです。そのため、影響を受けないビルドに更新した上で、緩和策を適用することをご検討ください。