Citrix a publié des mises à jour de sécurité pour corriger les vulnérabilités affectant plusieurs versions de Citrix Application Delivery Controller (ADC), Gateway et SD-WAN WANOP. Ces failles peuvent être exploitées par une personne malveillante distante pour provoquer un déni de service. Ces dernières ont été repérées par les noms de référence CVE-2021-22955 et CVE-2021-22956.

La liste ci-dessous énumère les versions de Citrix ADC et Citrix Gateway qui sont affectées par CVE-2021-22955 et CVE-2021-22956 :

• Citrix ADC et Citrix Gateway 13.0 avant 13.0-83.27
• Citrix ADC et Citrix Gateway 12.1 avant 12.1-63.22
• Citrix ADC et NetScaler Gateway 11.1 avant 11.1-65.23
• Citrix ADC 12.1-FIPS avant 12.1-55.257

De plus, les versions suivantes de Citrix SD-WAN WANOP Edition sont affectées par CVE-2021-22956 :

• Citrix SD-WAN WANOP Edition 11.4 avant 11.4.2
• Citrix SD-WAN WANOP Edition 10.2 avant 10.2.9c

Il est à noter que la fonctionnalité WANOP de SD-WAN Premium Edition n'est pas affectée.

Le fournisseur a publié des correctifs pour les versions concernées :

• Citrix ADC et Citrix Gateway 13.1-4.43 et versions ultérieures de 13.1
• Citrix ADC et Citrix Gateway 13.0-83.27 et versions ultérieures de 13.0
• Citrix ADC et Citrix Gateway 12.1-63.22 et versions ultérieures de la 12.1
• Citrix ADC et NetScaler Gateway 11.1-65.23 et versions ultérieures de 11.1
• Citrix ADC 12.1-FIPS 12.1-55.257 et versions ultérieures de 12.1-FIPS
• Citrix SD-WAN WANOP Edition 11.4.2 et versions ultérieures de 11.4
• Citrix SD-WAN WANOP Edition 10.2.9c et versions ultérieures de 10.2.

En outre, lors de la mise à niveau vers une version corrigée, Citrix recommande aux clients de modifier la configuration du dispositif pour résoudre le problème CVE-2021-22956.