Citrix致力于使其产品和客户安全。Citrix致力于在安全开发生命周期(SDLC)的所有阶段进行行业标准。作为其SDLC程序的一部分,Citrix具有强大的安全响应过程,可接受针对外部来源的Citrix产品和服务的漏洞报告 - 客户和研究人员。
Citrix安全响应团队是一个专门的全球团队,负责管理有关Citrix产品安全漏洞信息的接收、验证和公开报告。
根据其遵守国际标准ISO/IEC 29147:2018的承诺,向Citrix报告的所有问题均遵循我们的漏洞响应流程:
收据
收到漏洞报告后,Citrix将在下一个工作日结束时生成一个独特的案例标识符和确认收据。
次
Citrix将从发布之日起调查Citrix产品和服务中的漏洞生命的尽头。问题的调查和验证将根据漏洞和其他环境因素的潜在严重程度优先进行。在整个调查过程中,Citrix将与记者合作,确认漏洞的性质,收集所需的技术信息,并确定适当的补救措施。初步调查完成后,如果适用,结果将向记者交付给记者,并提供决议案和公开披露。
变异分析
思杰将进行深入分析,以确保识别出类似的问题,并确保所采取的任何行动最终将解决所有这类问题。
决议
思杰安全响应团队将与思杰内部产品开发团队合作解决该问题。发布修复程序的时间根据复杂性和严重性而变化。当与报告的漏洞相关的漏洞处理过程有进展时,Citrix将向研究人员提供更新。
释放
发布缓解或软件更新后,Citrix将向用户提供补救或缓解信息,通常以安全公告和软件补丁或更新的形式提供。如果在漏洞处理过程中,Citrix发现第三方产品或服务中存在漏洞,我们将努力以负责任的态度披露该问题,并协调我们的公开发布。
文章发布
Citrix将监控用户的反馈,如有必要,将相应地更新补救和缓解信息。
思杰在我们的产品中使用第三方组件,并且作为思杰对客户安全承诺的一部分,在思杰软件更新中加入了相关的安全改进。因此,Citrix建议客户始终使用Citrix软件或固件当前维护版本的最新版本,以确保他们受益于最新的安全更新。请看Citrix乘积矩阵查询思杰产品的生命周期信息。
如果在Citrix产品或服务的CVE对CVE的影响下需要信息,请通过正常的Citrix支持通道提高支持请求。请包含常见的漏洞和曝光(CVE)参考(https://nvd.nist.gov.)或提交请求时相关的安全公告文章编号。
Citrix发布安全公告提供有关客户管理的Citrix产品中的安全漏洞的补救信息,这些产品已通过漏洞响应计划报告给Citrix。Citrix还可能发布安全公告,告知客户影响Citrix产品的其他事件,例如,如果关键第三方CVE影响Citrix产品,或者发布专用修补程序来解决漏洞。
Citrix通常会在所有尚未发布的产品版本中都存在软件补丁或解决方案后发布安全公告维修结束. 在有限的情况下,包括Citrix发现漏洞被积极利用,或者公众意识到漏洞可能会增加Citrix客户的风险,在发布一整套修补程序或解决方案之前,可能会发布一份安全公告,以便我们可以提醒客户并就如何降低相关风险提供建议。为了帮助客户计划执行任何适用的更新,Citrix通常在一个月的第二个星期二发布安全公告,但如果我们认为这样做符合客户的最佳利益,则可以选择在不同的日期发布或更新文章。
根据Citrix确定的漏洞对客户的风险,Citrix将安全公告分为“严重”、“高”、“中”、“低”或“信息性”。Citrix将计算考虑CVSS方法的漏洞的风险,但可能修改评分以反映具体情况,包括但不限于,利用的复杂性和可用的缓解。Citrix建议客户在发布后尽快应用安全修复/补丁。
为了我们所有客户的安全,Citrix不披露安全公告中包含的漏洞以外的任何漏洞技术细节。有关任何其他信息,请通过正常的Citrix支持渠道提出支持请求。提交请求时,请包括相关的Citrix security bulletin文章编号。
Citrix安全公告同时发布并向客户和公众公开。不过,Citrix为有限的客户群体提供了即将发布的公告的高级通知。
如果能够做到这一点, Citrix将在公开发布日期前1-2周通知注册客户即将发布的安全公告, 帮助他们规划更新活动。通知将包含受影响产品的名称、受影响版本(仅限主要版本)、漏洞的严重性和预期发布日期。
即将到来的Citrix安全公告的预先通知可供符合以下标准的客户和合作伙伴使用:
希望注册预先通知计划的客户应联系其技术客户经理(TAM),他们将代表他们加入预先通知计划。
客户必须签署并归还思杰信息披露前计划保密协议;本协议只有在思杰首席信息安全官或首席数字风险官签署后才有效。
思杰感谢与我们合作保护思杰产品和服务安全的安全研究人员,并在获得许可后,感谢记者在公开披露漏洞期间所做的贡献。
| 姓名 | 公司 | 日期 | 参考 |
|---|---|---|---|
| Wolfgang Ettlinger和Marc Nimmerrichter | 认证咨询 | Jul-21 | CVE-2021-22927 |
| Lasse跑步管孔 | Improsec A / S | Jul-21 | CVE-2021-22928 |
| 帕特里克van den出生 | van den Born IT咨询公司 | 6月21日 | CVE-2021-22914 |
| 郴南 | Chaitin安全研究实验室 | 6月21日 | CVE-2020-8299 |
| Wolfgang Ettlinger和Marc Nimmerrichter | 认证咨询 | 6月21日 | cve - 2020 - 8300 |
| 朱利安•托马斯 | Protektoid项目 | 12月20日 | CVE-2020-8274,CVE-2020-8275 |
| 迈克尔·加里森 | 国家农场信息安全 | 11月20 | CVE-2020-8270 |
| Hannay Al Mohanna | F-Secure. | 11月20 | CVE-2020-8269 |
| Ariel Tempelhof. |
Realmode Labs. | 11月20 | CVE-2020-8271、CVE-2020-8272、CVE-2020-8273 |
| 陈二立 | 辛普顿 | 10月20日 | CVE-2020-8257,CVE-2020-8258 |
| Moritz Bechler. | syss gmbh. | 九月二十日 | CVE-2020-8245. |
| 克纳 | F-Secure. | 九月二十日 | CVE-2020-8246 |
| 阿尔森皮PUSTOVIT. | 对手仿真团队(加拿大皇家银行) | 九月二十日 | CVE-2020-8247 |
| 约翰乔治 | 瑞典Wisearc顾问公司 | 9月20日 | HTTP请求走私 |
| Vasilis Maritsas. | 安永咨询 | 9月20日 | HTTP请求走私 |
| 胡安·大卫Ordoñez诺列加 | Redteam Csiete. | 9月20日 | HTTP请求走私 |
| 里卡多·伊拉马尔·多斯桑托斯 | N / A. | 9月20日 | HTTP请求走私 |
| 哈里森尼尔 | 修补程序顾问 | 九月二十日 | cve - 2020 - 8200 |
| 格林Wintle | 商标 | 8月20日 | cve - 2020 - 8209,cve - 2020 - 8210,cve - 2020 - 8211,cve - 2020 - 8212,CVE-2020-8253 |
| 克里斯蒂安Bremberg | 探测 | 8月20日 | cve - 2020 - 8208 |
| 铈钴 | 笔测试伙伴 | Jul-20 | cve - 2020 - 8207 |
| 艾伯特施 | 优视网络(上海)有限公司 | Jul-20 | CVE-2020-8198 |
| Maarten Boone. | N / A. | Jul-20 | CVE-2020-8190 |
| Donny Maasland | 未经授权的访问 | Jul-20 | CVE-2020-8191,CVE-2020-8193,CVE-2020-8194,CVE-2020-8195,CVE-2020-8195 |
| 劳伦特·盖尔 | Akamai | Jul-20 | CVE-2020-8197 |
| 艾伯特施 | UVISION. | Jul-20 | CVE-2020-8198 |
| Viktor Dragomiretsykyy. | N / A. | Jul-20 | CVE-2020-8199. |
| 缪里斯Kurgas | 数字14. | Jul-20 | CVE-2019-18177 |
| 丹尼尔·詹森 | N / A. | 6月20日 | CVE-2020-7473,CVE-2020-8982,CVE-2020-8983 |
| 安德鲁·赫斯 | N / A. | 6月20日 | CVE-2020-13884,CVE-2020-13885 |
| 丹麦银行红队 | 丹麦银行 | 5月20日 | CVE-2020-8982,CVE-2020-8983 |
| 姓名 | 公司 | 日期 | 参考 |
|---|---|---|---|
| 瓦哈根·瓦尔丹扬 | N / A. | 8月19日 | CVE-2019-13608 |
| Gianlorenzo Cipparrone | 稻谷电源Betfair PLC | 12月19日 | CVE-2019-19781 |
| 米格尔·冈萨雷斯 | 稻谷电源Betfair PLC | 12月19日 | CVE-2019-19781 |
| Marc-Andre Labonte | desjardins. | 10月19日 | CVE-2019-18225 |
| ollie whitehouse | NCC集团 | 5月19日 | CVE-2019-11634 |
| 理查德·沃伦 | NCC集团 | 5月19日 | CVE-2019-11634 |
| 马丁山 | NCC集团 | 5月19日 | CVE-2019-11634 |
| Sergey Gordeychik. | SD-WAN新希望 | Apr-19 | CVE-2019-11550 |
| 丹尼斯科尔吉夫 | SD-WAN新希望 | Apr-19 | CVE-2019-11550 |
| 尼基塔Oleksov | SD-WAN新希望 | Apr-19 | CVE-2019-11550 |
| 乔纳斯 | 丹麦银行 | Apr-19 | CVE-2019-18571 |
| 瓦西Revnic | N / A. | Apr-19 | CVE-2019-11345. |
| 马克·杜普莱西斯 | N / A. | 3月19日 | CVE-2019-9548 |
| 克雷格年轻人 | 三线垂直 | 1月19日 | CVE-2019-6485 |
| 詹尼斯·弗列根施密特 | ruhr-Universität波鸿 | 1月19日 | CVE-2019-6485 |
| juraj somorovsky. | ruhr-Universität波鸿 | 1月19日 | CVE-2019-6485 |
| 尼姆罗德阿维拉姆 | 特拉维夫大学 | 1月19日 | CVE-2019-6485 |
| Robert Merget. | ruhr-Universität波鸿 | 1月19日 | CVE-2019-6485 |