image

Citrix dicht beveiligingslek in licentieserver

vrijdag 11 maart 2016, 11:17 door Redactie, 1 reacties

Het Amerikaanse softwarebedrijf Citrix heeft een beveiligingsupdate uitgebracht voor een kwetsbaarheid in de licentieserver, waardoor een aanvaller de server kon laten crashen en mogelijk zelfs overnemen. Citrix ontwikkelt oplossingen voor applicatie- en desktopvirtualisatie.

Voor het gebruik van een Citrix-omgeving moet er eerst een licentieserver zijn ingesteld, waarmee de productlicenties worden beheerd. Bij kleine implementaties kan de licentieserver op hetzelfde systeem worden geïnstalleerd als het Citrix-product. Bij grotere implementaties kan dit op een afzonderlijke server gebeuren. Hierbij is het wel nodig dat er "open communicatie" tussen de licentieserver en overige Citrix-servers mogelijk is.

Door een kwetsbaarheid in de licentieserver kan een aanvaller zonder inloggegevens de server laten crashen en is het ook mogelijk om code uit te voeren, waardoor de server kan worden overgenomen. Om de aanval uit te voeren moet de aanvaller wel eerst toegang tot het netwerk van de licentieserver hebben. Volgens Citrix is de licentieserver bij de meeste installaties niet toegankelijk vanaf het internet. Beheerders krijgen het advies om de beschikbaar gemaakte beveiligingsupdate te installeren.

Reacties (1)
14-03-2016, 09:11 door Anoniem
Citrix gebruikt FlexLM als licentieserver, en dat wordt door wel meer applicaties gebruikt (e.g. IDA Pro floating licenses, Autocad, IBM Rational, ...). Het is dus niet een Citrix-issue, maar een FlexLM issue, zoals beschreven op http://www.kb.cert.org/vuls/id/485744
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.