描述的问题
最近披露的SSLv3协议漏洞,被称为CVE-2014-3566 (http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566或PooDLE,可能会暴露一些支持SSLV3的部署,从而导致中间人(MITM)攻击的风险。成功的攻击可能导致通过加密通道发送的信息泄露。
考虑到下面描述的缓解因素,Citrix不认为这是一个高风险脆弱性。但是,Citrix建议客户检查其对SSLv3的使用情况,并在适当的情况下采取措施重新配置其部署,以取消对SSLv3的支持。
减罪因素
客户在评估该问题带来的风险时,应考虑以下缓解因素:
- 为了利用这个问题,基于网络的攻击者需要将选定的纯文本注入加密通道。一个典型的场景是,在web浏览器中运行的恶意脚本能够通过SSLv3加密通道发送数据。
- 典型的漏洞利用需要相对较大的恶意流量来从SSLv3加密通道提取少量数据。
- 使用配置为符合FIPS 140-2的部署的客户通常不会受到这个问题的影响,因为不应该启用SSLv3。
顾客应该做什么
以下部分提供了有关配置相关Citrix产品的SSLv3支持的指导,随着分析的进行,还将添加其他部分。需要进一步帮助的客户应参考其产品的文档或联系其正常的Citrix支持代表。产品文档可在Citrix网站上查阅,地址如下:http://support.citrix.com/proddocs/topic/infocenter/ic-how-to-use.html
Citrix NetScaler ADC和NetScaler Gateway
客户应注意,一些扫描工具可能会报告CTX200378中描述的TLS和DTLS填充验证漏洞,称为“POODLE”或“TLS POODLE”漏洞。如果在禁用SSLv3时仍然报告这些问题,请参考CTX200378获得指导。
NetScaler vServers:
使用实例在指定vServer上禁用SSLv3协议。使用实例
设置ssl vserver
NetScaler管理界面:
要在NetScaler管理界面上禁用SSLv3,请从NSCLI运行以下命令:
设置SSL服务nshttps-127.0.0.1-443 -ssl3 disabled
MIP/SNIP的NetScaler管理接口:
如果需要关闭MIP/SNIP上的SSLv3协议,请在NSCLI中为每个IP地址指定内部服务名。
演出服务–内部| grep
然后,可以使用以下NSCLI命令为每个IP地址禁用SSLv3:
设置该ip> -ssl3 disabled的SSL服务<内部服务名称
注意,在运行这些命令之后,NetScaler配置应该使用NSCLI命令保存。保存配置“这样,这些变化就会在设备重新启动时持续存在。与所有配置更改一样,Citrix建议在部署到生产环境之前在测试环境中验证这些更改。
需要进一步帮助的客户应参考其产品的文档或联系其普通Citrix支持代表。
NetScaler服务交付设备
使用NetScaler Service Delivery Appliance服务虚拟机的客户受此漏洞影响。要解决此问题,客户应将其服务交付设备升级到以下版本:
- 10.5构建54.9及更高版本
- 10.5建造54.9009.e及更高版本
- 10.1构建131.1及更高版本
- 10.1构建130.1302.e及更高版本
指挥中心
使用命令中心的用户受此漏洞影响。为了解决这个问题,客户需要将他们的命令中心部署升级到以下版本:
- 5.2构建43.19及更高版本
- 5.1构建36.7及更高版本
Citrix安全网关和SSL中继
有关如何配置Citrix安全网关支持版本的信息,可以在产品文档中找到。此表格可于思杰的网站下载,网址如下:
可以在配置实用程序的“连接”选项卡下配置内部SSL中继组件使用的协议版本。有关这方面的更多信息,请参见以下地址的产品文档:
http://support.citrix.com/servlet/KbServlet/download/12606-102-16435/Administrators_Guide.pdf
Citrix Web界面和店面
有关如何在底层Microsoft web服务器上配置使用加密协议的信息,可在以下位置找到:
Citrix XenMobile
希望配置XenMobile设备管理器(XDM)部署以防止使用SSLv3的客户可以进行以下更改:
- 打开XDM tomcat配置文件server.xml进行编辑。默认安装位置为c:\program files(x86)\Citrix\XenMobile Device Manager\tomcat\conf\server.xml
- 将以下行添加到https连接器。注意:https连接器的默认端口是443和8443:
sslEnabledProtocols = " TLSv1.2、TLSv1.1 TLSv1” - 保存配置文件并重启XDM
Citrix CloudPortal业务经理
有关如何在底层web服务器上配置使用加密协议的信息可在以下位置找到:
http://support.citrix.com/proddocs/topic/cpbm-23-map/cpbm-install.html
Citrix SaaS解决方案
以下Citrix SaaS解决方案产品容易受到这个问题的影响:
- GoToMeeting
- 戈托训练
- 戈托比纳
- 戈托马斯特
- OpenVoice
- Citrix实验室产品(GoToMeet.me)
Citrix正在积极解决这个问题,进一步的信息将在可用时添加到文档中。
Citrix XenMobile和App Controller
针对受影响的Citrix AppController版本的补丁已经发布,以解决这个漏洞。此修补程式可于思杰的网站下载,网址如下:
https://support.citrix.com/article/CTX142031
Citrix建议使用受影响版本App Controller的客户在其修补计划允许的情况下尽快将此修补程序应用于其设备。
Citrix XenMobile&App Controller 10不受此漏洞的影响
Citrix VDI-In-A-Box
以下版本的Citrix VDI-In-A-Box (VIAB)受到此漏洞的影响:
Citrix VDI-In-A-Box 5.4.x:VIAB的新版本5.4.5已发布以解决此问题。可在以下地址找到://m.giftsix.com/downloads/vdi-in-a-box/product-software/vdi-in-a-box-54.html
Citrix VDI-In-A-Box 5.3。VIAB的新版本5.3.10已经发布,以解决此漏洞。地址如下://m.giftsix.com/downloads/vdi-in-a-box/product-software/vdi-in-a-box-53.html
Citrix CloudPlatform
在CloudPlatform已配置为使用HTTPS来提供与管理服务器的安全通信的配置中,Citrix建议客户考虑禁用SSLv3。关于如何配置底层web服务器只支持TLS的信息可以在下面的文章中找到:http://support.citrix.com/article/CTX132008
Citrix建议使用受影响版本的CloudPlatform的客户更新其SystemVM ISOs,并将其系统和路由器虚拟机模板升级至最新版本。有关如何获取和执行这些更新的信息,请参阅以下文章:
- 更新CloudPlatform SystemVM ISO:https://support.citrix.com/article/CTX200459
- 升级CloudPlatform系统和路由器虚拟机模板:https://support.citrix.com/article/CTX200024
Citrix许可
License Server for Windows:
当配置为使用SSL时,Windows的License Server会受到此漏洞的影响。要在Windows的License Server上禁用SSLv3,请参阅以下文章:https://support.citrix.com/article/CTX200265
许可证服务器VPX:
SSLv3在License Server VPX的11.12.1及更高版本中被禁用。Citrix建议客户升级到11.12.1或更高版本来解决这个问题。此版本可在以下地址找到://m.giftsix.com/downloads/licensing.html
思杰在做什么
Citrix正在通知客户和渠道合作伙伴这一潜在的安全问题。本文也可从Citrix知识中心获得,网址为http://support.citrix.com/.
在这个问题上获得支持
如果您需要此问题的技术帮助,请联系Citrix技术支持。有关Citrix技术支持的详细联系方式,请访问//m.giftsix.com/support/open-a-support-case.html.
报告安全漏洞
Citrix欢迎有关其产品安全性的意见,并认真考虑所有潜在漏洞。有关如何向Citrix报告安全相关问题的指导,请参阅以下文档:CTX081743-向Citrix报告安全问题
更新日志
| 日期 | 改变 |
| 2014年10月15日 | 最初发表的公报 |
| 2014年10月16日 | 添加了安全网关配置 |
| 2014年10月20日 | 增加了SSL Relay, Web Interface/Storefront和XenMobile配置 |
| 2014年11月7日 | 添加了CloudPortal Business Manager部分 |
| 2014年11月13日 | 新增SaaS解决方案部分 |
| 2015年2月2日 | 添加了XenMobile应用程序控制器部分 |
| 2015年2月25日 | 添加VDI-In-A-Box部分 |
| 2015年3月4日 | 添加CloudPlatform部分,更改为XenMobile部分 |
| 2015年3月18日 | VDI-In-A-Box部分已更新 |
| 2015年4月8日 | 更新到安全网关和SSL中继部分 |
| 2015年4月28日 | 更新至NetScaler部分 |
| 2015年5月21日 | 增设牌照组 |
| 2015年7月7日 | 更新至SaaS解决方案部分 |
| 2015年9月1日 | 更新至NetScaler部分 |
| 2015年9月8日 | 增加了指挥中心部分 |
| 2016年3月22日 | 更新了Citrix安全网关和SSL中继部分中的链接 |