ګرانو لوستونکو، لومړی غواړم دې ته اشاره وکړم چې په آلمان کې د یوه اوسیدونکي په توګه، زه د دغه هیواد د وضعیت په اړه په اساسي ډول بیان کوم. شاید ستاسو په هیواد کې وضعیت په بشپړ ډول توپیر ولري.
د دسمبر په 17، 2019 کې، د Citrix د پوهې مرکز پاڼې کې د Citrix Application Delivery Controller (NetScaler ADC) او د Citrix Gateway محصول لاینونو کې د جدي زیان په اړه معلومات خپاره شوي، چې د NetScaler Gateway په نوم پیژندل شوي.
CTX267027: CVE-2019-19781 - د Citrix غوښتنلیک تحویلي کنټرولر کې زیانمنتیا CTX267679: د CVE-2019-19781 لپاره د کمولو ګامونه CTX269180: CVE-2019-19781 - د تایید وسیله (د 15.01.2020/XNUMX/XNUMX خپور شوی!)
د زیان مننې په اړه د معلوماتو خپرولو سره په ورته وخت کې، Citrix د خطر د کمولو لپاره سپارښتنې خپرې کړې (د کار ځای). د زیانمننې بشپړ بندولو ژمنه یوازې د جنوري 2020 تر پایه شوې وه.
د دې زیانونو شدت (نمبر CVE-2019-19781) و
د خبرونو احتمالي غبرګون
د یو مسؤل کس په توګه، ما داسې انګیرله چې د دوی په زیربنا کې د NetScaler محصولاتو سره د معلوماتي ټیکنالوژۍ ټول مسلکیان لاندې کار کوي:
- د CTX267679 مادې کې مشخص شوي خطر کمولو لپاره سمدلاسه ټولې سپارښتنې پلي کړي.
- د داخلي شبکې په لور د NetScaler څخه د اجازه ورکړل شوي ټرافیک په شرایطو کې د فایروال تنظیمات بیا چیک کړل.
- وړاندیز شوی چې د معلوماتي ټکنالوجۍ امنیت مدیران د NetScaler ته د لاسرسي لپاره "غیر معمولي" هڅو ته پام وکړي او که اړتیا وي، دوی بند کړي. اجازه راکړئ تاسو ته یادونه وکړم چې NetScaler معمولا په DMZ کې موقعیت لري.
- تر هغه وخته پورې چې د ستونزې په اړه نور تفصيلي معلومات ترلاسه شوي نه وي له شبکې څخه د NetScaler منحل کولو احتمال ارزول. د کرسمس څخه دمخه د رخصتیو، رخصتیو او نورو په جریان کې، دا به دومره دردناک نه وي. سربیره پردې ، ډیری شرکتونه د VPN له لارې د لاسرسي بدیل اختیار لري.
بیا څه وشول؟
له بده مرغه، لکه څنګه چې وروسته به روښانه شي، پورتني ګامونه، کوم چې معیاري طریقه ده، د ډیری لخوا له پامه غورځول شوي.
ډیری متخصصین چې د سیټریکس زیربنا مسؤل دي یوازې د جنوري په 13.01.2020 ، XNUMX کې د زیان مننې په اړه زده کړل
د ځینو دلیلونو لپاره، زه باور لرم چې د معلوماتي ټکنالوجۍ متخصصین د تولید کونکو څخه بریښنالیکونه لولي، دوی ته سپارل شوي سیسټمونه، د ټویټر کارولو څرنګوالی پوهیږي، د دوی په ساحه کې د مخکښو متخصصینو ګډون کول او د اوسنیو پیښو څخه د ځان ساتلو لپاره مکلف دي.
په حقیقت کې، د دریو اونیو څخه زیات د Citrix ډیری پیرودونکو په بشپړه توګه د جوړونکي سپارښتنې له پامه غورځولې. او د Citrix پیرودونکو کې په آلمان کې نږدې ټول لوی او متوسط شرکتونه او همدارنګه نږدې ټولې دولتي ادارې شاملې دي. تر ټولو لومړی، زیانمنتیا په دولتي جوړښتونو اغیزه وکړه.
مګر د کولو لپاره یو څه شتون لري
هغه کسان چې سیسټمونه یې له مینځه وړل شوي د TSL سندونو بدلولو په شمول بشپړ بیا نصبولو ته اړتیا لري. شاید هغه سیټریکس پیرودونکي چې تمه یې درلوده تولید کونکي به د جدي زیان مننې له مینځه وړو کې ډیر فعال اقدام وکړي په جدي ډول د بدیل په لټه کې شي. موږ باید دا ومنو چې د Citrix ځواب هڅونکی نه دی.
د ځوابونو په پرتله ډیرې پوښتنې شتون لري
پوښتنه راپورته کیږي، د Citrix، پلاتینوم او سرو زرو ډیری شریکان څه کول؟ ولې اړین معلومات یوازې د 3 په دریمه اونۍ کې د ځینې Citrix شریکانو په پاڼو کې څرګند شوي؟ ښکاره ده چې د لوړ معاش خارجي مشاورین هم د دې خطرناک حالت څخه تیر شوي دي. زه نه غواړم چا ته سپکاوی وکړم، مګر د ملګري دنده په اصل کې د ستونزو د رامنځته کیدو څخه مخنیوی کول دي، او وړاندیز نه کول = د دوی په له منځه وړلو کې مرسته پلورل.
په حقیقت کې، دې وضعیت د معلوماتي ټیکنالوژۍ د امنیت په برخه کې د چارو اصلي حالت وښود. د شرکتونو د آی ټي ډیپارټمنټ دواړه کارمندان او د Citrix شریک شرکتونو مشاورین باید په یو حقیقت پوه شي: که چیرې یو زیان شتون ولري، دا باید له منځه یوړل شي. ښه، یو جدي زیان باید سمدلاسه له منځه یوړل شي!
سرچینه: www.habr.com