Fast zeitgleich mit der Veröffentlichung des MS-Sicherheitspatches für die Sicherheitslücke namens „PrintNightmare“, haben die Citrix-Admins eine neue spannende Aufgabe bekommen, nämlich die Citrix Hotfixes zu verteilen. Die Sicherheitslücke wurde mit Hilfe von Improsec A/S entdeckt.
Problembeschreibung
Wenn auf ihrem VDA entweder das Citrix Profile Management oder das Citrix Profile Management WMI Plugin installiert ist, wäre der angemeldete Benutzer in der Lage seine Berechtigung auf SYSTEM zu erweitern. Wenn Sie die unteren Optionen nicht ausgewählt haben, ist keine Hotfix-Installation erforderlich.
Offizielle Mitteilung: CTX319750 - Citrix Virtual Apps and Desktops Security Update
Betroffen sind folgende Citrix Virtual Apps and Desktops Versionen:
Current Releases:
- Citrix Virtual Apps and Desktops 2106* und früher
Long Term Service Releases:
- 7.15 LTSR CU7 und früher
- 1912 LTSR CU3 und früher
* 2106 ist nur betroffen, wenn die Citrix Profile Management Komponente auf einem Windows VDA installiert ist, der Citrix Profile Management WMI Plugin ist in dieser Version nicht betroffen.
Workaround
In seinem offiziellen Knowledgebase-Artikel weist Citrix daraufhin, dass das Fehlverhalten nicht auftritt, wenn die folgenden Einstellungen gesetzt sind:
Computer Configuration\Administrative templates\Windows components\windows installer\Turn off Windows Installer
Lösung:
Installieren Sie so schnell wie möglich entsprechende Updates. Wenn Sie beide Komponenten installiert haben, was immer der Fall ist, müssen Sie auch beide Hotfixes installieren. Dieses Problem wird in zukünftigen Versionen: CVAD 2109, CVAD 1912 LTSR CU4, XenApp/XenDeskop 7.15 CU8 behoben.
Frage: Muss die Infrastruktur zuerst auf die Version 7.15 CU7, 1912 CU3 oder 2106 aktualisieren und erst dann den Hotfix installieren?
Antwort: Es wird empfohlen, das neueste Update zu installieren, bevor sie den Hotfix anwenden. Aus dem Knowledge Base Artikel ist nicht ersichtlich, dass die Management-Infrastruktur ebenfalls aktualisiert werden muss. Die Beschreibung der Hotfixes deutet aber daraufhin: z.B. Hotfix für 1912 CU3 „Hotfix ProfilemgtWX64_1912_3001- For Citrix Virtual Apps and Desktops 7 1912 Long Term Service Release (LTSR) Cumulative Update 3“. Der UPM-Dienst ist größtenteils vom Rest des VDA-Stacks isoliert.
Beachten Sie bitte folgende Situation:
Wenn Sie die Hotfixes auf die Version z.B. 1912 CU2 installieren wollen und einige Zeit später eine Aktualisierung auf CU3 durchführen, müssen Sie die Hotfixes zuerst deinstalliert werden und nach dem Update erneut installiert sein:
Citrix Virtual Apps and Desktops 2106 - nur Citrix User Profile Management
- ProfilemgtWX86_2106_001 - CTX319995 - Download
- ProfilemgtWX64_2106_001 - CTX319996 - Download
Citrix Virtual Apps and Desktops 1912 LTSR
Bekannte Probleme
Die in der Version 3001 bekannte Outlook-Probleme sind in der Version 3002 beseitigt. Wenn der Hotfix für Citrix Profile Management 1912 CU3 3001 installiert ist, kann Outlook nicht gestartet werden. [UPM-3602]
- ProfilemgtWX64_1912_3003 - CTX322394 - Download
- UPMVDAPluginWX64_1912_3001 - CTX319668 - Download
- ProfilemgtWX86_1912_3003 - CTX322395 - Download
- UPMVDAPluginWX86_1912_3001 - CTX319671 - Download
Citrix XenApp / XenDesktop 7.15 LTSR
- ProfilemgtWX64_7_15_7001 - CTX319817 - Download
- UPMVDAPluginWX64_7_15_7001 - CTX319669 - Download
- ProfilemgtWX86_7_15_7001 - CTX319818 - Download
- UPMVDAPluginWX86_7_15_7001 - CTX319670 - Download
Die heruntergeladene Updates sind in ZIP-Dateien verpackt. Die entpackte Datei ist nicht anders als eine Installationsdatei des User Profil Managers, die in dem folgenden Ordner der Installation-DVD zu finden wäre: D:\x64\ProfileManagement\
z.B. 1912 CU3:
Hotfix für 1912 CU3
Die Installation besteht nur aus wenigen Schritten
Citrix Profile Management WMI plugin - Installation:
Citrix Profile Management - Installation: