首页 > 清静研究 > 清静转达 > 清静通告

Citrix | ShareFile多个清静误差通告

宣布时间 2020-05-07

0x00 误差概述

万利国际官网(中国游)有限公司

0x01 误差详情

Citrix ShareFile是美国思杰系统（Citrix Systems）公司的一套文件共享解决计划。。。。。。ShareFile是一个基于云的文件共享效劳，，，使用户能够轻松，，，清静地交流文件。。。。。。ShareFile能提供企业级效劳，，，组件包括StorageZones控制器和用户治理工具。。。。。。

2020年5月5日Citrix官网宣布通告声明，，，Citrix ShareFile存储区域控制器中发明了多个清静误差，，，未经认证的攻击者可以使用这些误差来入侵存储区域控制器，，，并会见ShareFile用户的文档和文件夹。。。。。。

新发明的清静问题 (CTX-CVE-2020-7473) 影响的是客户治理外地Citrix ShareFile 存储区控制器，，，该组件受防火墙�；；；；ぃ�，，存储企业数据。。。。。。上述多个清静误差包括CVE-2020-7473、CVE-2020-8982和CVE-2020-8983。。。。。。

0x02 处置惩罚建议

若是你所在公司使用的是外地ShareFile存储区控制器版本5.9.0/5.8.0/5.7.0/5.6.0/5.5.0及更早版本，，，则受影响，，，并建议连忙将平台更新至5.10.0/5.9.1/5.8.1或后续版本。。。。。。

暂时步伐：

需要注重的主要一点是：如你的存储区是在以上受影响版本上建设的，，，那么只是将软件更新至修复版本将无法完全解决误差问题。。。。。。为此，，，Citrix专门宣布了一款缓解工具，，，用户可首先在主存储区控制器上运行，，，之后在二级控制器上运行，，，“一旦该工具在主区运行乐成，，，请勿还原更改，，，不然将导致区域不可用。。。。。。”

除了外地解决计划外，，，ShareFile存储区控制器的云版本也受影响，，，但思杰已修复这些问题且无需用户执行任何进一步的操作。。。。。。

阻止现在还没有关于这些误差的底层手艺剖析，，，可是凭证补丁�。。。。。�，，研究职员剖析以为至少有一个误差可能位于Citrix Sharefile使用的老版本ASP.net Toolkit中。。。。。。

2015年发明的CVE-2015-4670误差就是一个AjaxControlToolkit的目录遍历和远程代码执行误差，，，影响对应的ShareFile软件版本。。。。。。

为了确定目今Citrix ShareFile实现是否受到影响，，，可以会见下面的URL，，，若是页面返回为空，，，就说明受到该误差的影响，，，若是返回的是404过失，，，就说明不受该误差的影响或已经被修复了。。。。。。链接为：https://yoursharefileserver.companyname.com/UploadTest.aspx

研究职员称，，，Citrix宣布的误差缓解工具会对web.config文件举行修改，，，也会从受影响的效劳器裳佚UploadTest.aspx和XmlFeed.aspx。。。。。。

0x03 相关新闻

https://thehackernews.com/2020/05/citrix-sharefile-vulnerability.html

0x04 参考链接

https://support.citrix.com/article/CTX269106

0x05 时间线

2020-05-05 Citrix宣布通告

2020-05-07 VSRC宣布误差通告

7*24小时效劳热线

400-624-3900

+86(10)56631988(港澳专线)

官方微信

官方微博

网御星云合众数据书生电子云子可信

执法声明

万利国际官网

网络清静防护

网络清静检测

应用清静

数据清静

清静治理

云清静

工控清静

移动及终端清静

密码应用清静

大模子应用清静

专业清静效劳

清静运营中心

知白学院

威胁情报中心

清静转达

研究报告

清静团队

渠道系统

售后效劳

升级通告

软件升级

公司概况

新闻动态

手艺专题

人才招聘

投资者关系

资源中心

联系万利国际官网

清静研究

Citrix | ShareFile多个清静误差通告

关于万利国际官网

解决计划

清静研究

联系万利国际官网

7*24小时效劳热线