Kritische Sicherheitslücke in Citrix Gateway und Netscaler ADC

In den Citrix-Produkten „Netscaler ADC“ (Application Delivery Controller) und „Gateway“ behob der Hersteller „Cloud Software Group“ zwei Sicherheitslücken, eine davon mit kritischer Einstufung. Die Fehler waren bei einer internen Überprüfung aufgefallen, Updates sind bereits erschienen. Citrix-Kunden sollten zügig prüfen, ob sie betroffen sind und ihre Appliances aktualisieren.

Die beiden Sicherheitslücken im Einzelnen:

• CVE-2026-3055: Ungenügende Eingabevalidierung führt zu überlangem Speicher-Lesezugriff (CVSS v4 9.3/10, kritisch)
• CVE-2026-4368: Eine Wettlaufsituation (Race Condition) kann zur Vertauschung von Nutzersitzungen führen (CVSS v4 7.7/10, hoch)

Droht CitrixBleed 3?

Details muss der geneigte Leser des Citrix-Sicherheitshinweises mit der Lupe suchen, doch gemahnen einige Details an die fatale Sicherheitslücke CitrixBleed 2 aus dem Jahr 2025. Auch diese bestand aus einem Speicherleck, das Angreifer aus der Ferne nutzen konnten, um Zugangstokens abzugreifen. In Verbindung mit der nun zusätzlich gemeldeten Race Condition könnten sie diese gezielt nutzen, um bestimmte Nutzerkonten zu übernehmen.

Admins sollten zügig auf die aktualisierten Versionen updaten:

• NetScaler ADC und NetScaler Gateway 14.1-66.59 oder neuer,
• NetScaler ADC und NetScaler Gateway 13.1-62.23 oder neuere Releases aus dem Versionsbaum 13.1,
• Für FIPS-zertifizierte Instanzen sind die Fehler in NetScaler ADC 13.1-FIPS und 13.1-NDcPP 13.1.37.262 sowie neueren Versionen von 13.1-FIPS und 13.1-NDcPP behoben.

(cku)