CERTFR-2020-AVI-267
Vulnerability from certfr_avis

De multiples vulnérabilités ont été découvertes dans Citrix ShareFile Storage Zones Controller. Elles affectent Citrix ShareFile lorsque des zones de stockage "privées" sont créées. Elles permettent à un attaquant de provoquer une atteinte à la confidentialité des données.

Solution

Note importante : L'éditeur précise que l'application des correctifs ne protège pas une zone de stockage créée avec un Storage Zone Controller vulnérable. L'éditeur a publié un outil de réparation qu'il est impératif d'utiliser pour protéger les zones de stockages existantes [1]. Cet outil est à manier avec précaution, aucun retour arrière ne doit être ensuite effectué au risque de perdre la zone de stockage.

Se référer au bulletin de sécurité de l'éditeur pour l'obtention des correctifs (cf. section Documentation).

  • ShareFile Storage Zones Controller 5.9.0 versions antérieures à 5.9.1
  • ShareFile Storage Zones Controller 5.8.0 versions antérieures à 5.8.1
  • ShareFile Storage Zones Controller 5.7.0 versions antérieures à 5.7.1
  • ShareFile StorageZones Controller 5.6.0 versions antérieures à 5.6.1
  • ShareFile StorageZones Controller 5.5.0 versions antérieures à 5.5.1

La version 5.10.x n'est pas affectée par ces vulnérabilités.

Impacted products
Vendor Product Description
References

Show details on source website

To clipboard 

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [],
  "affected_systems_content": "\u003cul\u003e \u003cli\u003eShareFile Storage Zones Controller 5.9.0 versions ant\u00e9rieures \u00e0 5.9.1\u003c/li\u003e \u003cli\u003eShareFile Storage Zones Controller 5.8.0 versions ant\u00e9rieures \u00e0 5.8.1\u003c/li\u003e \u003cli\u003eShareFile Storage Zones Controller 5.7.0 versions ant\u00e9rieures \u00e0 5.7.1\u003c/li\u003e \u003cli\u003eShareFile StorageZones Controller 5.6.0 versions ant\u00e9rieures \u00e0 5.6.1\u003c/li\u003e \u003cli\u003eShareFile StorageZones Controller 5.5.0 versions ant\u00e9rieures \u00e0 5.5.1\u003c/li\u003e \u003c/ul\u003e \u003cp\u003eLa version 5.10.x n\u0027est pas affect\u00e9e par ces vuln\u00e9rabilit\u00e9s.\u003c/p\u003e ",
  "content": "## Solution\n\n**Note importante** : L\u0027\u00e9diteur pr\u00e9cise que l\u0027application des correctifs\nne prot\u00e8ge pas une zone de stockage cr\u00e9\u00e9e avec un Storage Zone\nController vuln\u00e9rable. L\u0027\u00e9diteur a publi\u00e9 un outil de r\u00e9paration qu\u0027il\nest imp\u00e9ratif d\u0027utiliser pour prot\u00e9ger les zones de stockages existantes\n\\[1\\]. Cet outil est \u00e0 manier avec pr\u00e9caution, aucun retour arri\u00e8re ne\ndoit \u00eatre ensuite effectu\u00e9 au risque de perdre la zone de stockage.\n\nSe r\u00e9f\u00e9rer au bulletin de s\u00e9curit\u00e9 de l\u0027\u00e9diteur pour l\u0027obtention des\ncorrectifs (cf. section Documentation).\n",
  "cves": [
    {
      "name": "CVE-2020-8982",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-8982"
    },
    {
      "name": "CVE-2020-7473",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-7473"
    },
    {
      "name": "CVE-2020-8983",
      "url": "https://www.cve.org/CVERecord?id=CVE-2020-8983"
    }
  ],
  "initial_release_date": "2020-05-05T00:00:00",
  "last_revision_date": "2020-05-05T00:00:00",
  "links": [],
  "reference": "CERTFR-2020-AVI-267",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2020-05-05T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es"
    }
  ],
  "summary": "De multiples vuln\u00e9rabilit\u00e9s ont \u00e9t\u00e9 d\u00e9couvertes dans Citrix ShareFile\nStorage Zones Controller. Elles affectent Citrix ShareFile lorsque des\nzones de stockage \"priv\u00e9es\" sont cr\u00e9\u00e9es. Elles permettent \u00e0 un attaquant\nde provoquer une atteinte \u00e0 la confidentialit\u00e9 des donn\u00e9es.\n",
  "title": "Multiples vuln\u00e9rabilit\u00e9s dans Citrix ShareFile",
  "vendor_advisories": [
    {
      "published_at": null,
      "title": "[1] Bulletin de s\u00e9curit\u00e9 Citrix CTX269341 du 5 mai 2020",
      "url": "https://support.citrix.com/article/CTX269341"
    },
    {
      "published_at": null,
      "title": "Bulletin de s\u00e9curit\u00e9 Citrix CTX269106 du 5 mai 2020",
      "url": "https://support.citrix.com/article/CTX269106"
    }
  ]
}


Log in or create an account to share your comment.




Tags
Taxonomy of the tags.




Sightings

Author Source Type Date

Nomenclature

  • Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
  • Confirmed: The vulnerability is confirmed from an analyst perspective.
  • Published Proof of Concept: A public proof of concept is available for this vulnerability.
  • Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
  • Patched: This vulnerability was successfully patched by the user reporting the sighting.
  • Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
  • Not confirmed: The user expresses doubt about the veracity of the vulnerability.
  • Not patched: This vulnerability was not successfully patched by the user reporting the sighting.