Citrix CVAD Sicherheitslücke – User Profile Management - CVE-2021-22928

Fast zeitgleich mit der Veröffentlichung des MS-Sicherheitspatches für die Sicherheitslücke namens „PrintNightmare“, haben die Citrix-Admins eine neue spannende Aufgabe bekommen, nämlich die Citrix Hotfixes zu verteilen. Die Sicherheitslücke wurde mit Hilfe von Improsec A/S entdeckt.

Problembeschreibung

Wenn auf ihrem VDA entweder das Citrix Profile Management oder das Citrix Profile Management WMI Plugin installiert ist, wäre der angemeldete Benutzer in der Lage seine Berechtigung auf SYSTEM zu erweitern. Wenn Sie die unteren Optionen nicht ausgewählt haben, ist keine Hotfix-Installation erforderlich. 

CVE 2021 22928

Offizielle Mitteilung: CTX319750 - Citrix Virtual Apps and Desktops Security Update

 

Betroffen sind folgende Citrix Virtual Apps and Desktops Versionen:

Current Releases:

  • Citrix Virtual Apps and Desktops 2106* und früher

Long Term Service Releases:

  • 7.15 LTSR CU7 und früher
  • 1912 LTSR CU3 und früher

* 2106 ist nur betroffen, wenn die Citrix Profile Management Komponente auf einem Windows VDA installiert ist, der Citrix Profile Management WMI Plugin ist in dieser Version nicht betroffen.

 

Workaround

In seinem offiziellen Knowledgebase-Artikel weist Citrix daraufhin, dass das Fehlverhalten nicht auftritt, wenn die folgenden Einstellungen gesetzt sind:

Computer Configuration\Administrative templates\Windows components\windows installer\Turn off Windows Installer

Turn off Windows Installer

 

Lösung:

Installieren Sie so schnell wie möglich entsprechende Updates. Wenn Sie beide Komponenten installiert haben, was immer der Fall ist, müssen Sie auch beide Hotfixes installieren. Dieses Problem wird in zukünftigen Versionen: CVAD 2109, CVAD 1912 LTSR CU4, XenApp/XenDeskop 7.15 CU8 behoben. 

Frage: Muss die Infrastruktur zuerst auf die Version 7.15 CU7, 1912 CU3 oder 2106 aktualisieren und erst dann den Hotfix installieren? 

Antwort: Es wird empfohlen, das neueste Update zu installieren, bevor sie den Hotfix anwenden.  Aus dem Knowledge Base Artikel ist nicht ersichtlich, dass die Management-Infrastruktur ebenfalls aktualisiert werden muss. Die Beschreibung der Hotfixes deutet aber daraufhin: z.B. Hotfix für 1912 CU3 „Hotfix ProfilemgtWX64_1912_3001- For Citrix Virtual Apps and Desktops 7 1912 Long Term Service Release (LTSR) Cumulative Update 3“.  Der UPM-Dienst ist größtenteils vom Rest des VDA-Stacks isoliert.

Beachten Sie bitte folgende Situation:

Wenn Sie die Hotfixes auf die Version z.B. 1912 CU2 installieren wollen und einige Zeit später eine Aktualisierung auf CU3 durchführen, müssen Sie die Hotfixes zuerst deinstalliert werden und nach dem Update erneut installiert sein:

upm hotfixes

 

Citrix Virtual Apps and Desktops 2106 - nur Citrix User Profile Management

Citrix Virtual Apps and Desktops 1912 LTSR

Bekannte Probleme
Die in der Version 3001 bekannte Outlook-Probleme sind in der Version 3002 beseitigt. Wenn der Hotfix für Citrix Profile Management 1912 CU3 3001 installiert ist, kann Outlook nicht gestartet werden. [UPM-3602]

Citrix XenApp / XenDesktop 7.15 LTSR

Die heruntergeladene Updates sind in ZIP-Dateien verpackt. Die entpackte Datei ist nicht anders als eine Installationsdatei des User Profil Managers, die in dem folgenden Ordner der Installation-DVD zu finden wäre: D:\x64\ProfileManagement\

z.B. 1912 CU3:

1912 3000

Hotfix für 1912 CU3

1912 3001

 

Die Installation besteht nur aus wenigen Schritten

Citrix Profile Management WMI plugin - Installation:

01 PMVDAPlugin Install

02 PMVDAPlugin Install

03 PMVDAPlugin Install

04 PMVDAPlugin Install

Citrix Profile Management - Installation:

101 upm install

102 upm install

103 upm install

104 upm install

105 upm install

106 upm install

 

 

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.