首页 > 清静研究 > 清静转达 > 清静通告

Citrix | ShareFile多个清静误差通告

宣布时间 2020-05-07

0x00 误差概述

人生就是博-尊龙凯时中国官网

0x01 误差详情

Citrix ShareFile是美国思杰系统（Citrix Systems）公司的一套文件共享解决计划。。。。ShareFile是一个基于云的文件共享效劳，，，，，使用户能够轻松，，，，，清静地交流文件。。。。ShareFile能提供企业级效劳，，，，，组件包括StorageZones控制器和用户治理工具。。。。

2020年5月5日Citrix官网宣布通告声明，，，，，Citrix ShareFile存储区域控制器中发明了多个清静误差，，，，，未经认证的攻击者可以使用这些误差来入侵存储区域控制器，，，，，并会见ShareFile用户的文档和文件夹。。。。

新发明的清静问题 (CTX-CVE-2020-7473) 影响的是客户治理外地Citrix ShareFile 存储区控制器，，，，，该组件受防火墙�；；�，，，，，存储企业数据。。。。上述多个清静误差包括CVE-2020-7473、CVE-2020-8982和CVE-2020-8983。。。。

0x02 处置惩罚建议

若是你所在公司使用的是外地ShareFile存储区控制器版本5.9.0/5.8.0/5.7.0/5.6.0/5.5.0及更早版本，，，，，则受影响，，，，，并建议连忙将平台更新至5.10.0/5.9.1/5.8.1或后续版本。。。。

暂时步伐：

需要注重的主要一点是：如你的存储区是在以上受影响版本上建设的，，，，，那么只是将软件更新至修复版本将无法完全解决误差问题。。。。为此，，，，，Citrix专门宣布了一款缓解工具，，，，，用户可首先在主存储区控制器上运行，，，，，之后在二级控制器上运行，，，，，“一旦该工具在主区运行乐成，，，，，请勿还原更改，，，，，不然将导致区域不可用。。。。”

除了外地解决计划外，，，，，ShareFile存储区控制器的云版本也受影响，，，，，但思杰已修复这些问题且无需用户执行任何进一步的操作。。。。

阻止现在还没有关于这些误差的底层手艺剖析，，，，，可是凭证补丁，，，，，研究职员剖析以为至少有一个误差可能位于Citrix Sharefile使用的老版本ASP.net Toolkit中。。。。

2015年发明的CVE-2015-4670误差就是一个AjaxControlToolkit的目录遍历和远程代码执行误差，，，，，影响对应的ShareFile软件版本。。。。

为了确定目今Citrix ShareFile实现是否受到影响，，，，，可以会见下面的URL，，，，，若是页面返回为空，，，，，就说明受到该误差的影响，，，，，若是返回的是404过失，，，，，就说明不受该误差的影响或已经被修复了。。。。链接为：https://yoursharefileserver.companyname.com/UploadTest.aspx

研究职员称，，，，，Citrix宣布的误差缓解工具会对web.config文件举行修改，，，，，也会从受影响的效劳器裳佚UploadTest.aspx和XmlFeed.aspx。。。。

0x03 相关新闻

https://thehackernews.com/2020/05/citrix-sharefile-vulnerability.html

0x04 参考链接

https://support.citrix.com/article/CTX269106

0x05 时间线

2020-05-05 Citrix宣布通告

2020-05-07 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

人生就是博

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系人生就是博

清静研究

Citrix | ShareFile多个清静误差通告

关于人生就是博

解决计划

清静研究

联系人生就是博

7*24小时效劳热线