首页 > 清静研究 > 清静转达 > 清静通告

Citrix | ShareFile多个清静误差通告

宣布时间 2020-05-07

0x00 误差概述

Z6·尊龙凯时「中国区」官方网站

0x01 误差详情

Citrix ShareFile是美国思杰系统（Citrix Systems）公司的一套文件共享解决计划。。。。。ShareFile是一个基于云的文件共享效劳，，，，，使用户能够轻松，，，，，清静地交流文件。。。。。ShareFile能提供企业级效劳，，，，，组件包括StorageZones控制器和用户治理工具。。。。。

2020年5月5日Citrix官网宣布通告声明，，，，，Citrix ShareFile存储区域控制器中发明了多个清静误差，，，，，未经认证的攻击者可以使用这些误差来入侵存储区域控制器，，，，，并会见ShareFile用户的文档和文件夹。。。。。

新发明的清静问题 (CTX-CVE-2020-7473) 影响的是客户治理外地Citrix ShareFile 存储区控制器，，，，，该组件受防火墙�；；；�，，，，，存储企业数据。。。。。上述多个清静误差包括CVE-2020-7473、CVE-2020-8982和CVE-2020-8983。。。。。

0x02 处置惩罚建议

若是你所在公司使用的是外地ShareFile存储区控制器版本5.9.0/5.8.0/5.7.0/5.6.0/5.5.0及更早版本，，，，，则受影响，，，，，并建议连忙将平台更新至5.10.0/5.9.1/5.8.1或后续版本。。。。。

暂时步伐：

需要注重的主要一点是：如你的存储区是在以上受影响版本上建设的，，，，，那么只是将软件更新至修复版本将无法完全解决误差问题。。。。。为此，，，，，Citrix专门宣布了一款缓解工具，，，，，用户可首先在主存储区控制器上运行，，，，，之后在二级控制器上运行，，，，，“一旦该工具在主区运行乐成，，，，，请勿还原更改，，，，，不然将导致区域不可用。。。。。”

除了外地解决计划外，，，，，ShareFile存储区控制器的云版本也受影响，，，，，但思杰已修复这些问题且无需用户执行任何进一步的操作。。。。。

阻止现在还没有关于这些误差的底层手艺剖析，，，，，可是凭证补丁，，，，，研究职员剖析以为至少有一个误差可能位于Citrix Sharefile使用的老版本ASP.net Toolkit中。。。。。

2015年发明的CVE-2015-4670误差就是一个AjaxControlToolkit的目录遍历和远程代码执行误差，，，，，影响对应的ShareFile软件版本。。。。。

为了确定目今Citrix ShareFile实现是否受到影响，，，，，可以会见下面的URL，，，，，若是页面返回为空，，，，，就说明受到该误差的影响，，，，，若是返回的是404过失，，，，，就说明不受该误差的影响或已经被修复了。。。。。链接为：https://yoursharefileserver.companyname.com/UploadTest.aspx

研究职员称，，，，，Citrix宣布的误差缓解工具会对web.config文件举行修改，，，，，也会从受影响的效劳器裳佚UploadTest.aspx和XmlFeed.aspx。。。。。

0x03 相关新闻

https://thehackernews.com/2020/05/citrix-sharefile-vulnerability.html

0x04 参考链接

https://support.citrix.com/article/CTX269106

0x05 时间线

2020-05-05 Citrix宣布通告

2020-05-07 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

官方微信

官方微博

执法声明

Z6尊龙凯时

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静团队

售后效劳

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系Z6尊龙凯时

清静研究

Citrix | ShareFile多个清静误差通告

关于Z6尊龙凯时

解决计划

联系Z6尊龙凯时

7*24小时效劳热线