一、        组件介绍

Citrix NetScaler ADC 是企业级应用交付平台，集负载均衡、SSL 卸载、WAF、流量可视化与全球服务器负载均衡于一体；Citrix NetScaler Gateway是美国思杰系统公司的一套安全的远程接入解决方案。该方案可为管理员提供应用级和数据级管控功能，以实现用户从任何地点远程访问应用和数据。

二、        漏洞描述

NetScaler ADC/Gateway 存在内存溢出漏洞，因设备代码对特定配置下的内存缓冲区未做严格边界校验，导致攻击者可远程发送恶意请求触发内存溢出，进而实现远程控机或让服务崩溃；目前该漏洞已发现在野利用攻击。

其中，特定配置场景包括四类：

1)     设备被配置为网关（含 VPN 虚拟服务器、ICA Proxy、CVPN、RDP Proxy）或 AAA 虚拟服务器；

2)     13.1/14.1/13.1-FIPS/NDcPP 版本设备，其 LB 类型虚拟服务器（HTTP/SSL/HTTP_QUIC）绑定 IPv6 服务或含 IPv6 服务器的服务组；

3)     上述相同版本设备，其 LB 类型虚拟服务器（HTTP/SSL/HTTP_QUIC）绑定 DBS IPv6 服务或含 IPv6 DBS 服务器的服务组；

4)     设备配置 CR 类型且为 HDX 的虚拟服务器。

三、        影响范围

目前受影响的Citrix NetScaler ADC/Gateway版本：

NetScaler ADC 14.1.* < 14.1-47.48

NetScaler ADC 13.1.* < 13.1-59.22

NetScaler ADC 13.1-FIPS < 13.1-37.241

NetScaler ADC 13.1-NDcPP < 13.1-37.241

NetScaler ADC 12.1-FIPS < 12.1-55.330

NetScaler ADC 12.1-NDcPP < 12.1-55.330

NetScaler Gateway 14.1.* < 14.1-47.48

NetScaler Gateway 13.1.* < 13.1-59.22

四、        解决方案

官方已发布最新版本修复该漏洞，建议受影响用户更新到最新版本。

参考链接：https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938