HOME情報セキュリティ更新:Citrix ADC および Citrix Gateway における任意のコード実行の脆弱性(CVE-2019-19781)について

本文を印刷する

情報セキュリティ

更新:Citrix ADC および Citrix Gateway における任意のコード実行の脆弱性(CVE-2019-19781)について

最終更新日:2020年1月27日

※追記すべき情報がある場合には、その都度このページを更新する予定です。

概要

Citrix ADC および Citrix Gateway は、ネットワークを構築するためのアプライアンス製品です。

この Citrix ADC および Citrix Gateway において、任意のコード実行の脆弱性が確認されています。

この脆弱性が悪用された場合、遠隔の第三者によって、任意のコードが実行され、結果としてデータが改ざんされたり流出したりする可能性があります。

2020年1月17日現在、製品開発者から修正済みのバージョンは提供されていません。

---2020/1/27 更新---
2020年1月27日現在、製品開発者から修正済みのバージョンが提供されております。

製品開発者が公表している手順に従いアップデートするか、設定変更による攻撃の緩和を実施してください。

すでに悪用が確認されており、今後被害が拡大する可能性があるため、至急、対策を実施してください。

影響を受けるシステム

  • Citrix ADC および Citrix Gateway version 13.0
  • Citrix ADC および NetScaler Gateway version 12.1
  • Citrix ADC および NetScaler Gateway version 12.0
  • Citrix ADC および NetScaler Gateway version 11.1
  • Citrix NetScaler ADC および NetScaler Gateway version 10.5
  • Citrix SD-WAN WANOP software および appliance model 4000, 4100, 5000, 5100

※ 上記バージョン以外でも脆弱性の影響を受ける可能性があります。詳細はベンダに確認してください。

対策

1.脆弱性の解消 - 修正プログラムの適用

---2020/1/27 更新---
2020年1月27日現在、「影響を受けるシステム」に記載の全てのバージョンにおいて製品開発者から修正プログラムが提供されております。

ベンダから提供されている修正プログラムを適用して下さい。詳細は下記リンクよりご確認ください。

2.脆弱性の暫定的な緩和策

製品開発者が公表している手順に従い、設定変更による攻撃の暫定的な緩和策を実施してください。詳細は下記リンクよりご確認ください。 製品開発者によると、Citrix ADC version 51.16、 51.19 および 50.31 より前の Citrix ADC リリース 12.1 ビルドでは、不具合により緩和策が適切に機能しないとのことです。 そのため、影響を受けないビルドに更新した上で、緩和策を適用することをご検討ください。

参考情報

本件に関するお問い合わせ先

IPA セキュリティセンター

E-mail:

※個別のシステムおよび環境に関するご質問を頂いても回答ができない場合があります。詳しくは製品ベンダなどにお問合せください。

更新履歴

2020年1月27日 ベンダが一部修正バージョンを提供したため、内容を更新
2020年1月24日 ベンダが一部修正バージョンを提供したため、内容を更新
2020年1月20日 ベンダが一部修正バージョンを提供したため、内容を更新
2020年1月17日 掲載