发布日期：2007-05-23
更新日期：2007-05-25

受影响系统：

Citrix Presentation Server 4.0
Citrix MetaFrame Presentation Server 3.0
Citrix Access Essentials 1.5
Citrix Access Essentials 1.0

描述：

---

BUGTRAQ  ID: 24116

Citrix公司是全球领先的按需接入基础架构解决方案提供商。

Citrix在处理连接转发时存在漏洞，远程攻击者可能利用此漏洞绕过某些访问验证。

多个Citrix产品所使用的会话可靠性服务允许客户端指定连接的目标主机和端口，这可能导致攻击者绕过网络安全策略，连接到目标机器上的任意端口。例如，如果有漏洞的服务正在监听FTP的话，正常情况下应仅暴露2598端口，但远程攻击者可以通过2598端口跳转攻击21端口。

<*来源：Andrew Christensen （anc@fortconsult.net）
  
  链接：http://secunia.com/advisories/25371/
        http://www.fortconsult.net/images/pdf/Citrix_Session-Reliability_OpenProxy.pdf
*>

建议：

---

厂商补丁：

Citrix
------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

http://support.citrix.com/article/CTX112964&printable=true