CTX232161, CTX234492及びCTX230238, CTX230612に関する対策

本メニューで提供しているCitrix社のNetScalerにセキュリティ(脆弱性)情報が確認されました。 脆弱性の最新情報をご確認の上、必要に応じてご対応いただくことを推奨します。

対象バージョン

10.5-57.7 Standard Edition 及び 11.0-67.12 Standard Edition 及び Citrix_NetScaler_VPX_12.0-53.13_Standard_Edition

CTX232161の脆弱性

本脆弱性の影響

リモート認証後のユーザがnsrootアカウントでルート権限コマンドが実行できる可能性があります。 例えば、Netscaler内の任意のファイルダウンロード/権限昇格/ディレクトリ移動、ルート権限を取得したNetscalerからターゲットユーザのブラウザで任意のスクリプトコードを実行できる等の可能性があります。 管理インターフェース(SNIP)へのアクセスがセキュアな環境からのみ許可されているか確認をお願いたします。

対応方法

NetScalerの設定では以下による対応が可能です。 必要に応じて、不要な管理インタフェースでの管理用通信は無効化し(1)、必要な管理インタフェースのみでアクセスできるIPアドレスを制限する(2)などの御利用をお勧めいたします。全ての管理インタフェースで管理用通信を無効化すると、NetScalerへのログインが出来なくなりますので、ご注意願います。

*(1) 管理インターフェイス(SNIP)への管理用通信の無効化

注釈

  • ロードバランサーがクライアントからアクセスを受け付けるIPアドレス(VIP)への通信は対象外です
  • NetScalerへの設定は内部ネットワークなどセキュアな環境から行ってください

*(2) 管理インターフェイス(SNIP)へアクセス許可するIPアドレスの制限

参考情報

 以下の参考情報サイト(Citrix社)をご覧ください。

CTX234492及びCTX230238の脆弱性

本脆弱性の影響

特定のRSA暗号鍵交換を使用したSSL通信を行なった場合、遠隔の第三者によって、TLS 暗号化通信データを解読される可能性があります。

対応方法

利用するCipherSuiteをPFS(DH/ECDHE)に限定してください。

上記を含まないCipherSuiteを使用しないでください。

NetScalerの設定では以下による対応が可能です。

脆弱性(CTX234492及びCTX230238)の対応方法

参考情報

 以下の参考情報サイト(Citrix社)をご覧ください。

CTX230612の脆弱性の脆弱性

本脆弱性の影響

NetScalerとrealserver間の認証にクライアント証明書を利用しており、かつ、TLS 接続でDHE鍵交換を使用している場合にTLSハンドシェイクを通してクリアテキストが漏洩する可能性があります。

対応方法

NetScalerとrealserver間の認証にクライアント証明書を利用している場合、以下いずれかの対応方法を実施

ください。

  • DHEのCipher Suiteを利用しないでくたさい 。
  • クライアント証書書の利用自体を中止してください。

※クライアント証明書を利用していない場合は本脆弱性への対処は不要です。

NetScalerの設定では以下による対応が可能です。

脆弱性(CTX230612)の対応方法

参考情報

 以下の参考情報サイト(Citrix社)をご覧ください。