In a scenario, there are two data centers at one location. This can be a larger building with several fire protection sections or a complete campus. The NetScalers form an HA and are distributed so that there is one instance in each DC. Each DC also contains servers that are load-balanced via NetScaler.

This can looks like this:

Short information about a interesting issue during SAML changes. We see in different environments with NetScaler 14.1 VPX which crashes during changes in a SAML Action. All the configuration is the same, that the NetScaler is SAML SP.

If the SAML action is changed from "Import Metadata" to manual configuration and click to "OK", then the NetScaler reboots and write a Core-Dump.

This is the starting point:

It's often the little things that make everything so much easier. You have a lot of NetScaler MPX, VPX, BPX, CPX Instances in your environment and sometime it happen that the config is not saved. We all know that an unintentional reboot or similar can lead to unpleasant consequences... Also you upgrade your SDX without saving the VPX config first.

If you use NetScaler Console (old name ADM) - and of course you should use it in every environment - add all your NetScaler Instances to NSC. Thens it`'s easy to create a Job that saves the config on all instances at once. This can happen manually or automatic e.g. once per day/weekly! For this navigate to Infrastructure > Configuration > Configuration Jobs

We are familiar with a lack of storage space when upgrading VPX instances. However, this is not typical when upgrading an SDX. Especially if the message says that there is too much space available 😉

"Reason: Available disk space in SVM is 39 GB. Minimum disk space of 4GB ist required for SDX upgrade"

Mangelnder Speicherplatz beim Upgrade von VPX-Instanzen kennen wir. Beim Upgrade einer SDX ist dies hingegen eher untypisch. Vor allem, wenn die Meldung besagt, dass zu viel Speicher vorhanden ist 😉

"Reason: Available disk space in SVM is 39 GB. Minimum disk space of 4GB ist required for SDX upgrade"

Again and again we receive enquiries about multi-language support for Citrix Gateway and AAA. Why is quickly explained: A portal theme is often created, ideally with RfWebUI, in order to customise the look to the customer's requirements. A login scheme is often used to fulfil security requirements. If the field labelling is to be adapted here, as in the following example, this results in unsightly behaviour. 

It should look like this:

Immer wieder kommen Anfrage zur Mehrsprach-Unterstützung von Citrix Gateway und AAA. Warum ist schnell erklärt: Gerne wird hier ein Portal-Theme erstellt idealerweise mit RfWebUI um die Optik an die Kundenbedürfnisse anzupassen. Um dann auch den  Sicherheitsbedürfnissen zu genügen wird oftmals ein Login-Schema verwendet. Wenn hier die Feldbeschriftung angepasst werden soll wie im folgenden Beispiel dann kommt es hier zu einem unschönen Verhalten. 

So sollte es aussehen:

Es gibt Szenarien in denen ActiveSync Geräte verwendet werden, aber kein MDM/MAM zur Verfügung steht. Wäre es nicht dennoch schön nur Geräte einen Zugriff auf den on-prem Exchange zu ermöglichen die berechtigt für einen Email-Abruf sind?

Damit ein SSL vServer auf dem NetScaler "UP" ist muss ein Zertifikat gebunden werden. Häufig werden hier passende SSL-Zertifikate von einer internen PKI oder öffentliche Zertifizierungsstelle genutzt. Hierbei muss die Gültigkeit überwacht werden für die jährliche Erneuerung - je nach Installation einiges an Aufwand selbst mit Unterstützung der ADM.

Aber was ist mit den internen NetScaler vServer? Zum Beispiel vServer mit IP 0.0.0.0, 169.254.0.1, und so weiter? Zusätzlich wird hier von manchen noch "ARP" auf der IP deaktiviert.

Kurzum: die IP ist nicht von anderen Systemen erreichbar, sondern wird ausschließlich intern im NetScaler verwendet. Warum hier den Aufwand betreiben für den Zertifikatsaustausch?

Ein interessanter Fehler zeigte sich mit deinem Citrix ADC 13.0 Build 82.x und 82.x. Aufgetreten ist das Verhalten mit einem MPX HA Pärchen, ist aber so auch nachzustellen mit VPX. Im Falle einer Config-Synchronisation mittels "force synchronisation" zeigt sich eine Kernel Panic auf dem Secondary und die Appliances startet durch. Anschließend wird automatisch wieder ein Config-Sync durchgeführt was in einer Endlosschleife eskaliert. 

Ursächlich hierfür ist die Konfiguration eines Syslog-Servers! Ist dieser als FQDN hinterlegt kommt uns zu oben beschriebenem Verhalten. Ändert man den Eintrag von FQDN auf IP kommt es nicht mehr zu der Neustartschleife. 

Zuerst den Primary anpassen und dort die IP in der Config hinterlegen plus speichern. Anschießend abwarten bis der Secondary erreichbar ist via CLI/GUI und dort ebenfalls den Eintrag abändern plus speichern. Auf deiner MPX hat man dafür circa 20 Sekunden Zeit. Hurry Up! 

Wenn ein Benutzer über den ADC eine VPN Verbindung aufgebaut hat und versucht Ziele im internen Netzwerk zu erreichen, so kann es passieren dass HTTP Ziele erreicht werden können, aber Nicht-HTTP Ziele nicht. Hintergrund dazu ist häufig eine HTTP Traffic-Policy mit der Expression "true" bzw. "ns_true". 

Mit aktuelleren Versionen von ADC wurde das SSO Verhalten abgeändert, so dass nicht mehr grundsätzlich an das Backend-System die Zugangsdaten weitergeleitet werden. Entsprechend ist eine Traffic-Policy erforderlich die dies gezielt ermöglicht. In vielen Artikeln wurde allerdings "empfohlen" eine Policy nach dem Schema anzulegen:

add vpn trafficAction UG_Traf_Prof_SSO http -SSO ON

add vpn trafficPolicy UG_Traf_Pol_SSO true UG_Traf_Prof_SSO

Im Falle eines VPN Tunnels bedeutet dies allerdings, dass unter Umständen die Traffic Policy nur noch HTTP Verkehr zulässt und der Nicht-HTTP Verkehr terminiert wird. Um dies zum lösen sollte die Traffic-Policy zielgerichteter sein. Zum Beispiel könnte statt dem "true" die Policy nur noch gelten für einen speziellen Ziel-Port oder für eine Ziel-IP. 

CLIENT.IP.DST.EQ(1.2.3.4)
CLIENT.TCP.DSTPORT.EQ(80)

Somit lautet das Beispiel von oben:

add vpn trafficAction UG_Traf_Prof_SSO http -SSO ON

add vpn trafficPolicy UG_Traf_Pol_SSO "CLIENT.IP.DST.EQ(1.2.3.4) && CLIENT.TCP.DSTPORT.EQ(80)" UG_Traf_Prof_SSO

Admin Partitions sind eine effektive Möglichkeit ADC Config zu separieren um z.B. einer Fachabteilung ausschließlich Zugriff auf seine Loadbalancer und Content Switches zu ermöglichen. Ein weiterer Einsatzzweck kann sein über einen ADC zwei unterschiedliche "Default Gateways" anzusprechen für ein Provider-HA.

Die Admin Partition Config wird separat gespeichert unter /nsconfig/partitions/<PartitionName>

Die SSL Dateien liegen unter /var/partitions/<PartitionName>/netscaler/ssl

Wird in einer Citrix Anwendung oder Desktop etwas in die Zwischenablage kopiert/ausgeschnitten so kann es bei MacOS für einige Sekunden zu einer Zwangspause kommen. Der Mauszeiger wird zu dem bunten, rotierenden Warte-Symbol für circa 10 Sekunden. Dann kann erst weitergearbeitet werden. Einfügen klappt hingegen direkt. 

Ursache ist das Sicherheitsmodel aktueller MacOS Versionen und die Integration der Workspace App. Um dieses Warten zu vermeiden müssen die Sicherheitseinstellungen geändert werden. Dazu die "Systemeinstellungen" öffnen, "Sicherheit & Datenschutz" starten und dort "Datenschutz" öffnen. Hier nun unter "Bedienungshilfen" das Schloss anklicken und den Admin-Modus aktivieren. Anschließend "Citrix Viewer" und "Citrix Workspace" hinzufügen. Ergänzt sollte der Dialog so aussehen:

Safenet / Thales GrID ist eine interessante Möglichkeit für ein Multifaktor Szenario. Dabei erhält der Benutzer bei der Anmeldung eine 5x5 große Matrix mit zufälligen Zahlen - das sogenannte GrID. Sein vorab definiertes Muster, ähnlich wie dem Wischmuster zum Entsperren des Mobiltelefons, ergibt den Code mit dem der Benutzer sich anmelden kann. 

Anlässlich der Hafnium Exchange Sicherheitslücke, aber auch grundsätzlich ist man immer gut beraten Web-Anwendungen abzusichern gegen Angriffe. Der Citrix ADC bietet mit der integrierten Web Application Firewall (WAF) eine starke Lösung mit aktuellen Signaturen zum Absichern von Gefahren. Im folgenden wird beispielhaft beschrieben wie ein vorhandener OWA Loadbalancer abgesichert werden kann. Ähnlich kann aber für anderen Dienste und Anwendungen verfahren werden. 

Web-Anwendungen wie Salesforce, SAP, Slack, O365, Confluence, Jira werden immer mehr genutzt. Dabei kommt meist SAML zum Einsatz damit sich Benutzer mit ihren Active Directory Zugangsdaten gegenüber einem vertrauenswürdigen Identity Provider (IDP) ggf. auch mittels Multifaktor Authentifizierung anmelden können.

Benutzer im Unternehmensnetzwerk oder VPN von meinem domain-joined System sind bereits authentifiziert an ihrem Endgerät. Daher ist hier ein sicheres Single Sign On in die SAML Web-Anwendung möglich, ohne dass der Benutzer seine Zugangsdaten eingeben muss.  

Oft melden sich Benutzer am ADC mit ihren Zugangsdaten an und die dahinter liegenden Dienste benötigen aus Komfort- und Sicherheitsgründen ein Single-Sign-On (SSO). Unterstützt dabei das Backend-System Basic-Auth&Co ist die Integration des SSO meist mit einer einfachen Traffic-Policy erledigt. In diesem Artikel wird aber der Fall beschrieben, wenn das Backend-System nur Formbased-Authentifzierung verwendet.

Nach Update auf Citrix ADC 13.0 Build 67.x bricht ggf. der Sync vom HA. Ursächlich hierfür können die interne LB Services sein z.B. für RPC durch benutzerseitige Anpassungen oder Migration von alten Installationen. Für die internen Service muss ab diesem Build TLS 1.2 verwendet werden für den Sync - sonst wird dieser nicht ausgeführt. Als Fehler erscheint die Meldung "Unable to connect to primary, please check the network connectivity from secondary to primary".

Seit ADC 13.0 Build 67.x unterstützt die Standard Lizenz nFactor für Citrix Gateway/VPN. Dies war sonst eine Funktion der Advanced und Premium Edition und wird weiterhin benötigt für nFactor mit Loadbalancing. 

Im aktuellen Release kann es vorkommen dass ein Reboot der Appliance mit Standard Lizenz die Konfiguration des AAA Servers teilweise vergisst. Somit startet der ADC neu und die Endanwender sehen eine leere Seite statt der Gateway Anmelde-Seite. Dieser Fehler soll behoben werden mit dem Build 13.0 17.25.

Zwischenzeitlich gibt es zwei Möglichkeiten das Problem zu umgehen. Entweder es wird die ns.conf angepasst damit der AAA Server den Neustart übersteht, oder nach jedem Neustart wird der AAA Server reaktiviert.

Variante 1 ns.conf Anpassung:

• suche in der Konfiguration alle Zeilen nach dem Schema add authentication vserver <name> SSL 0.0.0.0
• Ändere die Zeilen auf das Schema add authentication vserver <name> SSL 

Variante 2 manuelle Anpassung nach jedem Neustart:

• Über die CLI für jeden AAA Server diesen Command ausführen add authentication vserver <name> SSL 

Ein altes Thema, aber nicht weniger interessant. Bei der Analyse einer Kundenumgebung wurde folgendes Problem gemeldet:

Der Kunde setzt den Browser Zugriff und die Citrix Workspace App (Windows, macOS, iOS,...) ein mit einem Citrix ADC Multifaktor. Das Login Theme wurde angepasst so dass die Felder auf der Anmelde-Seite lauten:

• Benutzername
• Kennwort
• Token-Code

Policies für die Anmeldung sind entsprechend eingerichtet worden, dass erst der Token-Code überprüft wird und dann das LDAP-Kennwort. Ebenfalls die Unterscheidung bei der Verarbeitung ist sichergestellt, ob ein Browser-Zugriff erfolgt oder die Workspace App (Citrix Receiver) verwendet wird. 

Der Browser-Zugriff funktioniert auch wie gewünscht, aber bei der Workspace App verhält es sich sonderbar. Die erste Anmeldung erfolgt wie konfiguriert, aber bei einer zweiten Anmeldung sind die Felder in der Reihenfolge vertauscht. Zudem lautet die Bezeichnung wie folgt:

• Benutzername
• Kennwort1
• Kennwort2

Ein Zurücksetzten der Workspace App half bis zur übernächsten Anmeldung!

Eine neue Sicherheitslücke CVE-2020-8200 in Citrix Storefront erlaubt ggf. Zugriff auf das Dateisystem des Servers. Dies betrifft unter anderem das aktuelle Long Time Service Release. Es scheint als müssen Angreifer Mitglied der gleichen Domäne sein wie der Storefront-Server um die Lücke auszunutzen. Ein Update ist dringend erforderlich.

Betroffene Versionen sind:

• Citrix StoreFront vor 1909
• Citrix StoreFront 1912 LTSR vor CU1 (1912.0.1000)
• Citrix StoreFront 3.12 for 7.15 LTSR vor CU5 Hotfix (3.12.5001)
• Citrix StoreFront 3.0 for 7.6 LTSR vor CU8 Hotfix (3.0.8001)

Da Storefront 1909 auf der gleichen Codebasis wie 1912 LTSR beruht müsste hier auch die Verwundbarkeit bestehen. Updates können direkt heruntergeladen werden unter https://www.citrix.com/downloads/storefront/

Nähere Infos sind direkt beim Hersteller hier zu finden.

In den letzten Monaten ist vermehrt zu sehen bei Windows 10 und Windows Server 2016/2019, dass die Anmeldung hängt im "Willkommens"-Bildschirm.

Dabei zeigt der Anmeldebildschirm nicht den tatsächlichen Benutzernamen an sondern nur "Anderer Benutzer" bzw. "Other User". Nach einem Timeout von 2 Minuten, ggf. aber auch länger, wird dann tatsächliche Anmeldename korrekt angezeigt und die Anmeldung läuft wie gewohnt durch. In der Ereignisanzeige der betroffenen Systems sind keine wirklich hilfreichen Meldungen zu finden. 

Citrix gab heute in ihrem Blog bekannt, dass 11 Sicherheitslücken in den Produkten Citrix ADC, Gateway, SD-WAN WANOP korrigiert wurden. Betroffen sind von den Lücken teilweise oder alle Versionen der entsprechenden Produkte. Nähere Infos dazu gibt Citrix hier bekannt. 

Eine genaue Auflistung aller adressierten Sicherheitslücken, betroffenen Releases und Korrekturen sind hier zu finden: https://support.citrix.com/article/CTX276688

Zu den Möglichkeiten des NetScalers/ADC gehört es dynamisch Webseiten-Inhalte umschrieben zu können. Dies kann zum Beispiel sehr hilfreich sein, wenn eine unsichere HTTP Seite nach extern bereitgestellt werden soll via HTTPS, aber der Backend-Server weiterhin die HTTP-Anfragen ausliefert.  Hierdurch meldet der Browser eine Mixed Content Warning und die HTTP Links können ggf. nicht geladen werden.

Im vorliegenden Fall wurde eine Portalseite nach extern bereitgestellt via HTTPS mit SSL Offloading, 2 Faktor Authentifizierung und SingleSignOn in das Backend-System. Allerdings gab es im Quelltext der Webserver hart codiert HTTP Links zu Java-Scripts. Da HTTP von extern blockiert ist, konnten die Scripte nicht geladen werden und die Portal-Seite funktionierte nicht wie gewünscht.

Für Sharefile ist eine Sicherheitslücke bekannt geworden mit der Nummer CTX-CVE-2020-7473. Die Lücke betrifft vor allem Installation mit on-premise Storage Zone Controllern. 

Wichtig: Ob eine Installation betroffen ist von der Sicherheitslücke hängt nicht vom aktuellen Versions-Stand ab, sondern davon, ob die Erstinstallation mit einer verwundbaren Version stattgefunden hat. 

Zur Behebung gibt es ein Hotfix welcher hier zu finden ist. Hierbei handelt es sich um eine Powershell-Script und eine EXE. Zum starten muss das Script mit .\CTX-CVE-2020-7473.ps1 aufgerufen werden. Falls eine veraltete Powershell-Version vorliegt kann hier ein Update heruntergeladen werden. Die Powershell-Version kann überprüft werden mit Get-Host | Select-Object Version in einer Powershell-Console und sollte mindestens 5.x sein. Bei Windows 2008R2 funktioniert das Script nicht ordnungsgemäß!

Das Script muss auf allen on-premise Storage Zone-Controllern ausgeführt werden inkl. eines Server-Neustarts im Nachgang. Dabei unbedingt mit dem primären Controller starten.

Das Security Bulletin wird nach aktueller Planung am 05.05.2020 veröffentlicht. Daher wird dringend empfohlen zeitnah zu prüfen ob die Installation betroffen ist und ggf. weitere Maßnahmen einzuleiten.

Im März 2020 bringt Microsoft ein Sicherheitsupdate (ADV190023) heraus, welches die Anmeldung am NetScaler/ADC/Gateway stört. Hintergrund ist, dass ab dem Zeitpunkt des Einspielens nur SSL/636 und TLS/389 verwendet werden können.

Plaintext über Port 389 geht damit nicht mehr. 

Nähere Infos zur Umstellung sind hier zu finden.

NetScaler/ADC die auf Version 13.0 Build 47.22 und 47.23 aktualisiert wurden und gleichzeitig ein RfWebUI Theme verwenden, erhalten beim Start der Anmeldeseite sein Fehler mit der Meldung "Not Found" "the requested URL was not found on this server.". 

Genau vor einer Woche (Freitag 10.01.2020) wurde der Exploit zur Ausnutzung der Sicherheitslücke CVE-2019-19781 veröffentlicht. Seither kann jeder mit grundlegend Script-Kenntnissen mit weniger als 10 Zeilen Coden die Schwachstelle nutzen. 

Die zu erwartende Schwemme der Angriffen hat unverzüglich eingesetzt, so dass bereits am Wochenende die ersten Infektionen festgestellt wurden.  Jede öffentlich zugängliche Installation die nicht rechtzeitig mit Workaround - siehe hier - versehen wurde, muss als kompromittiert angesehen werden! Zusätzlich wurde die Warnung auf Citrix SD-WAN WANOP Software und Appliance Modelle 4000, 4100, 5000, and 5100 für alle unterstützen Builds ausgeweitet. Ob weitere Versionen oder auch etwas zum ADM bekannt wird bleibt abzuwarten.

Eine Prüfung via Script ob eine Verwundbarkeit vorliegt liefert inzwischen Citrix hier. Informationen zur Prüfung wie eine Infektion eventuelle festgestellt werden kann, sind in dem Artikel ganz unten verlinket. Nähere Infos von FireEye sind hier zu finden über NOTROBIN, sowie der Link zur Indikation ob ein System betroffen ist. 

Folgende Angriffe sind bereits gesichtet worden oder sind denkbar nach aktuellem Kenntnisstand:

Lange ersehnt und nun endlich verfügbar. Citrix XenApp/XenDesktop LTSR 1912 ist verfügbar und löst LTSR 7.15 ab. Die erste Installationen und das erste Upgrade verliefen bereits erfolgreich. 

Citrix NetScaler/ADC hat in allen Versionen von 10.5, 11.1, 12.0, 12.1, 13.0 bis zum heutigen Datum eine Sicherheitslücke, die das Ausführen von Schadcode ohne Anmeldung ermöglicht! Es erfolgte zudem eine Ausweitung auf alle Citrix SD-WAN WANOP Software und Appliance Modelle 4000, 4100, 5000, 5100 für alle unterstützen Builds.

Ein Update zu Informationen und Ausnutzung der Sicherheitslücke ist hier zu finden!

Handeln ist bei allen betroffenen Installationen dringend erforderlich. Informationen zu CVE-2019-19781 : Vulnerability in Citrix Application Delivery Controller and Citrix Gateway leading to arbitrary code execution ist hier zu finden. 

Da schon öfters im Citrix Studio der Fehler "Registry key 'Software\Citrix\Citrix Desktop Delivery Controller\Configuration Data' nicht gefunden."  ist hier die Hintergründe. 

Ursächlich ist in der Regel eine Deinstallation/Reinstallation von einem VDA auf einer Maschine wo auch das Citrix Studio installiert ist. Hierdurch löscht der VDA die benötigten Registry Keys unterhalb von 'Software\Citrix\Citrix Desktop Delivery Controller\Configuration Data'.

Manchmal ist es nötig nicht nur von NetScaler/ADC ein Netzwerk-Trace zu erstellen, sondern dies ebenfalls am Client-Gerät vorzunehmen. Wenn die Verbindung verschlüsselt ist zeigt allerdings der Wireshark Trace den verschlüsselten Inhalt nicht im Klartext an. 

Um den verschlüsselten Teil zu sehen kann der Pre-Master Secret Key verwendet werden um diesen in Wireshark zu laden. Diesen erhält man je nach Betriebssystem durch unterschiedliche Varianten.

Windows

• Unter den erweiterten System-Eigenschaften die Umgebungsvariablen auswählen
• Im Bereich Benutzervariablen einen neuen Eintrag erstellen
• Variablen-Name SSLKEYLOGFILE und Variablen-Wert einen Speicher-Pfad und Dateiname
• Anschließend über den Browser die verschlüsselte Verbindung aufrufen
• Die nun erzeugte Schlüsseldatei in Wireshark verwenden

Immer wieder ist es erforderlich nach speziellen Citrix Clients (Sharefile/Citrix Files/Receiver/WorkspaceApp/GatewayVPN) und Betriebssystemen zu unterscheiden. Hier eine Auflistung der verschiedenen Policy-Strings:

Eine kritische Storefront Sicherheitslücke wurde soeben bekannt geben für Storefront Versionen unter:

- 1903

- 17.15 CU4 (17.12.4000)

- 7.6 (3.0.8000)

Die Lücke ermöglicht unauthentifizierten Angreifern an ggf. sensible Daten zu kommen. Nähere Info sind hier zu finden.

Eine Sicherheitslücke im Citrix Receiver für Windows ermöglicht, dass die Richtlinien für den lokale Laufwerkszugriff nicht erzwungen werden und ein Angreifer Lese-/Schreibzugriff auf die Clients hat. Betroffen hiervon sind die Receiver vor Version 1904 und LTSR 4.9 CU6 vor 4.9.6001.

Ein Update wird dringend angeraten.

Nähere Infos hierzu sind hier zu finden.

Nachdem der Citrix Workspace app 1903 für Mac letzte Woche entfernt wurde wegen einfrierenden Sitzungen ist diese nun wieder verfügbar hier.

Die Version 2.1 des Citrix Optimizers wurde veröffentlich mit vielen neuen Funktionen:

- Besseres Reporting

- Template Marketplaces entfernen

- Template Aktualisierung und Prüfung

- Hilfefunktionen an verschiedenen Stellen

- Bessere Suchfunktion

- Proxy Support

- uvm...

Zu finden ist der Download hier.

Während der Arbeit bekommen XA/XD Benutzer scheinbar zufällig ein Citrix WEM "Connection state changed - .... Connection lost". Wenn Netzwerk-Themen ausgeschlossen sind kann es dennoch zu diesen Meldungen kommen aufgrund der Auslastung des Citrix WEM Brokers. Im Broker Log erscheint dann die Meldung:

Exception -> ConfigurationDataSourcesHelper.CheckAgentBrokerServiceClient() : System.ServiceModel.ServerTooBusyException : The request to create a reliable session has been refused by the RM Destination. Server 'net.tcp://localhost:8286/AgentBrokerSvc/service' is too busy to process this request. Try again later. The channel could not be opened.

Citrix empfiehlt für den WEM Broker 4 vCPU's und 16 GB RAM. Wenn weitere Services auf dem Broker laufen kann der Bedarf höher sein. Weitere Infos hier.

Eine Schwachstelle wurde in Citrix ADC/NetScaler identifiziert die eine Hardwarebeschleunigung verwenden. Dadurch könnte ein Angreifer die Appliance zum Entschlüsseln des TLS-Verkehrs ausnutzen. Diese Schwachstelle erlaubt es einem Angreifer nicht direkt, den privaten TLS-Schlüssel zu erhalten.

Dieser Schwachstelle wurde der folgende CVE zugewiesen:

- CVE-2019-6485: TLS Padding Oracle Vulnerability in Citrix ADC/NetScaler

Betroffen sind:

• Citrix ADC and NetScaler Gateway version 12.1 earlier than build 50.31

• Citrix ADC and NetScaler Gateway version 12.0 earlier than build 60.9

• Citrix ADC and NetScaler Gateway version 11.1 earlier than build 60.14

• Citrix ADC and NetScaler Gateway version 11.0 earlier than build 72.17

• Citrix ADC and NetScaler Gateway version 10.5 earlier than build 69.5

Infos über die Systeme und Updates sind hier zu finden.

Im Citrix NetScaler Gateway, früher bekannt als Citrix Access Gateway Enterprise Edition, wurde eine Cross-Site Scripting (XSS)-Schwachstelle festgestellt.  

Diese Schwachstelle könnte möglicherweise dazu verwendet werden, bösartiges clientseitiges Skript im gleichen Kontext wie legitime Inhalte vom Webserver auszuführen. Wenn diese Schwachstelle verwendet wird, um Skript im Browser eines authentifizierten Benutzers auszuführen, kann das Skript möglicherweise Zugriff auf die Sitzung des authentifizierten Benutzers oder andere potenziell sensible Informationen erhalten.

Dieser Schwachstelle wurde die folgende CVE-Nummer zugewiesen:

- CVE-2018-18517: Cross-Site Scripting Schwachstelle in Citrix NetScaler Gateway

Diese Sicherheitslücke ist in den folgenden Versionen von Citrix NetScaler Gateway vorhanden:

• 10.5.x vor der Version 10.5.69.003
• 11.1.x vor der Version 11.1.59.004
• 12.0.x vor der Version 12.0.58.7
• 12.1.x früher als die Version 12.1.49.1.1

Nähere Informationen hierzu. Updates sind zu finden für betroffene Versionen hier. 

Auf einem XenApp/XenDesktop kann es vorkommen dass verschiedenste Benutzer eine Reaktivierung von Office 365 erfordern. Andere Benutzer auf dem gleichen System sind hiervor eventuelle nicht betroffen. Dies schließt ein grundsätzliches Problem bei der Aktivierung aus, sondern dieses verhalten scheint zufällig gesteuert.

Ursächlich hierfür ist die Shared Computer Activation in Verbindung  mit Roaming Profile bzw. UPM! Nähere Infos sind hier zu finden. 

Mit dem UPM müssen hierzu die Pfade "!ctx_localappdata!\Microsoft\Office\15.0\Licensing und/oder !ctx_localappdata!\Microsoft\Office\16.0\Licensing" ausgeschlossen werden. Sollten anschließend bei bereits betroffenen Benutzern die Aktivierung nicht funktionieren ggf. das Profil wie im Artikel oben beschrieben aufräumen.

Citrix hat in ShareFile StorageZones Controller zwei Sicherheitslücken entdeckt und mit diesem Update geschlossen.

Inhalt:

• CVE-2018-16968 (Medium): Citrix ShareFile StorageZones Controller before 5.4.2 allows Directory Traversal

• CVE-2018-16969 (Low): Citrix ShareFile StorageZones Controller before 5.4.2 has Information Exposure Through an Error Message

Ein Windows 2012 R2 Server der Anwendungen via XenApp/XenDesktop 7.18 VDA als published Apps bereitstellt kann u.U. sehr langsam reagieren. Ein Arbeiten ist praktisch nicht möglich. Ein published Desktop hingegen funktioniert einwandfrei. Genauer wird dies in folgendem Blog-Artikel beschrieben. Ein Downgrade bringt sofortige Besserung.

https://discussions.citrix.com/topic/396666-718-issues/?source=email

Für XenServer 7.x sind drei kritische Sicherheitslücken bekannt gegeben worden CVE-2017-5753, CVE-2017-5715, CVE-2017-5754.

Mit diesen wird es u.a. mit Intel-Prozessoren aber auch mit Prozessoren herstellerunabhängig (!) möglich aus einer VM auszubrechen und RAM-Informationen anderer VM`s zu lesen! Unbedingt hierzu den Artikel CTX231390 beachten und verfolgen. 

Eine kritische NetScaler ADC und Gateway Sicherheitslücke CVE-2017-17382 wurde veröffentlicht. Betroffen sind alle Versionen 10.5, 11.0, 11.1, 12.0 jünger als der heutige Tag und sollten umgehend aktualisiert werden sofern sie nicht ausschließlich Perfect Forward Secrecy verwenden. Weitere Infos hierzu unter hier.

Ein guter Zeitpunkt mal wieder sein SSL Rating auf ein A+ zu prüfen und Pen-Test durchzuführen.

Immer wieder kommt es bei Application Layering zu Problemen mit dem Domänen-Zugriff. Ein Domänen-Mitglied meldet sich zwar im Nachgang an, aber für jegliche Administration kann nur ein lokales Admin-Konto verwendet werden. 

Was läuft da schief?

Bekannt ist, dass der Domänen-Betritt im Plattform-Layer zu geschehen hat. Weniger Beachtung findet dass die lokale Windows SAM dabei nicht im Layer landet. Dies bedeutet, dass ein Domänen-Betritt zwar erfolgt bei der Veröffentlichung aber Domänen-Benutzer nicht in der lokalen Benutzer-Gruppe und Domänen-Admins nicht in der lokalen Administratoren-Gruppe zu finden sind. 

Die Lösung des ganzen ist es eine Gruppenrichtlinie zu erstellen für die veröffentlichten Maschinen. Unter Computerkonfiguration, Einstellungen, Systemsteuerungseinstellungen, Lokale Benutzer und Gruppe sollten hier folgende Update-Richtlinien erstellt werden: 

• Die Domänen Administratoren sollten Mitglied der lokalen Administratoren-Gruppe werden.
• Die Domänen Benutzer sollten Mitglied der lokalen Benutzer-Gruppe werden.
• Die NT Service\CitrixTelemetryService sollten Mitglied der Leistungsprotokollbenutzer werden.
• Die NT Service\BrokerAgent sollten Mitglied der Leistungsüberwachungsbenutzer werden.

Beim Start der Maschine wird die Gruppenrichtlinie angewendet und die SAM entsprechend angepasst bei einem Domänen-Computer. Damit ist ein Zugriff wieder wie gewohnt möglich.

Eine Sicherheitslücke  im NetScaler ADC und Gateway wurde gefunden die einen Authentication Bypass am Management Interface ermöglicht. Dies ist besonders kritisch wenn der Management Login von extern verfügbar ist, aber auch von intern kann die Schwachstelle genutzt werden.

Betroffen sind die NetScaler Versionen 10.1, 10.5, 11.0, 11.1, 12.0. Updates wurden in der Zwischenzeit bereitgestellt vom Hersteller. Betroffenen Installationen sollten umgehend aktualisiert werden. 

Weitere Infos hier.

What's new:

- Auto-update for Receiver and HDX Realtime Opt Pack

- Thinwire 32-bit cursor support

- Joint Server Certificate Validation Policy

https://www.citrix.com/downloads/citrix-receiver/mac/receiver-for-mac-latest.html

What's new:

- Auto-update for Receiver und HDX Realtime Opt. Pack

- Support for Visual Studio 2008

- Support Bloomberg 4 Keyboard

- Composit USB Device redirection

Download here.

Bezüglich meinem vorherigen Artikel bei Startproblemen von Anwendungen und Desktops von Mac Receiver 12.5 und höher aus gibt es einen weiterführenden Artikel von Citrix zu dem Thema - hier. 

Hintergrund ist eine Änderung der Zertifikatsverarbeitung vom Receiver - näher beschrieben hier.

Ab sofort ist Citrix App Layering als Cloud Lösung verfügbar für XenApp, XenDesktop, Citrix Cloud Kunden mit aktivem Customer Success Services Select. Weitere Infos hier.

Mit Citrix Receiver 4.7 und 12.5 gibt es Probleme beim Verbinden über NetScaler unter bestimmten Umständen. Dies ist abhängig von der NetScaler Version. Betroffen sind:

• 10.5 Builds 50.10, 51.10, 52.11
• 10.5.e Builds 51.1017.e, 52.1115.e
• 10.1         Builds 124.13, 125.9, 126.12, 127.10, 128.8, 129.11, 129.22, 130.10, 130.11, 130.13, 131.11, 132.8, 133.9, 134.9
• 10.1.e Builds 124.1308.e, 126.1203.e, 127.1007.e, 128.8003.e, 129.1105.e, 130.1302.e

Lösung ist ein Update auf unterstütze NetScaler-Versionen. Infos dazu hier.

RES ONE Workspace v10 ist ab sofort verfügbar mit Erneuerungen bei:

• Ease of access to data via RES Reporting
• Simplify helpdesk troubleshooting with the web-based management portal 
• Enhanced application security enhancements for Linux and Mac
• Enhanced application security capabilities

Einfach mal im RES Success Center vorbeischauen um sich die neue Version anzuschauen. Weitere Infos hier.

Seit einigen Tagen ist nun XenApp und XenDesktop 7.12 & 7.13 veröffentlich. Hierzu gibt es immer wieder einige Frage zu den neuen&geänderten Funktionen welche Citrix in ihrem Blog hier beantwortet. S

XenServer 7.1 ist ab sofort verfügbar hier mit zahlreichen neuen Funktionen:

- Unterstützung von Provisioning Services (PVS) Accelerator technology *HOT*

- XenServer 7.1 ist das erste Long Term Service Release ähnlich wie bei XA/XD

- Funktionen von XenServer Enterprise sind nun für alle XenApp und XenDesktop lizenztechnisch integriert

- Hot-Patching ohne XenServer-Neustart möglich *HOT*

- und vieles mehr.

Weitere Infos hier.

Ab sofort sind Citrix XenApp 7.13, XenDeskop 7.13, StoreFront 3.9 und PVS 7.13 verfügbar mit einigen Erneuerungen im Bereich Application Group Session Sharing, VDA Agent, Director, App-V, AppDisk, Installation-Assistent, uvm.

Nähere Infos sind hier zu finden.

Announcement: Future-proof, Secure and Improve the Digital Workspace with Newly-enhanced RES ONE Platform

Highlights of RES ONE product enhancements:

• Key enhancements of the latest version of RES ONE Enterprise include:
• New reporting that provides insight into user experience, performance and usage to help IT make better, faster decisions about the workspace
• New web-based management portals with diagnostics that serves as a service desk help tool to easily drill into what is going on with the workspace and to help troubleshoot
• Seamless integration across infrastructure and systems through more open and flexible APIs
• Increasing context-aware security policies across more device types, including Mac and Linux, for a better roaming experience
• Enhanced self-service capabilities to better support workers 24/7
• More data visibility and sharing around user identity, access activity and the user experience
• Improved mobile and web user interface for the self-service portal
• Increased governance by sharing data related to identity and access policies, workflows and transactions into existing reporting, monitoring and BI tools

These capabilities will be available in Q1.

For more Information click here.

Citrix XenApp/XenDesktop 7.12 ist ab sofort verfügbar und einiges alter geschätzter Funktionen sind wieder zurück gekommen. Unter anderem gibt es nun Local Host Cache in XenDesktop - zumindest ein erster Versuch. Hier eine (nicht vollständige Auflistung) der neuen Funktionen:

• High availability using Local Host Cache (LHC)
• HDX Enlightened Data Transport (for evaluation only)
• NetScaler Gateway High Availability (HA) is supported with Framehawk
• Tag restrictions with Application Groups and Desktops
• Multiple restart schedules for machines in Delivery Groups
• Increased historical data availability in Enterprise Edition

Citrix Receiver für Mac 12.3 verfügbar mit Sierra Support, Backround applications alerts, Session Reliability and Auto Client Reconnect Improvements. 

Nähere Infos hier.

Für alle die wissen wollen ob ihre Citrix XenApp oder XenDesktop Umgebung Long Term Service Release (LTSR) comliant sind gibt es nun die neue Version des Citrix LTSR Assistant 1.0.0.35. Die Software prüft die Umgebung auf entsprechende Versionsstände & Hotfixes und generiert anschließend einen Report mit ToDo`s. Zusätzlich gibt es eine Powershell- und CIS-Unterstützung. 

Hier geht es zum Download.

- Generic USB Redirection

- Session Reliability and Auto Client Reconnect

- Security enhancements and improved supportability

Mehr Info dazu hier.

Der neue Nutanix RES ONE Automation Connector ist verfügbar. Nähere Infos hier. 

Das Sales Training RST-700 ist online und ersetzt RST-600. Dauer für das Training gute 2,5 Stunden plus Zertifizierung. Weitere Infos auf https://success.ressoftware.com/

2 Jahre nach erscheinen der ersten Citrix Best Practices  hat Nick Rintalan von Citrix nun eine Aktualisierung vorgenommen - hier der Link zur Version 2.0.

Themen sind...

• PVS Ports and Threads
• PVS and MCS Memory Buffers
• XenApp CPU Over-Subscription Ratio and COD 
• Protocols and Codecs
• Farm/Site/Zone Design
• vSphere Cluster Sizing
• XenMobile “Optimizations”

Reinschauen lohnt sich.

Wie gestern berichtet gibt es eine Adobe Flash Player Inkompatibilität mit Citrix XA/XD. Davon ist wohl nicht nur die Version 22 betroffen sondern auch der Adobe Flash Player 18.0.0.360. Auch hier gilt: Lösung gibt es aktuell nicht. Als Workaround heißt es nicht die betroffenen Versionen zu installieren sofern die Flash Redirection benötigt wird. Noch mehr Gründe dem Flash Player den Rücken zu kehren. Mehr Infos hier.

Ein altbekanntes Problem ist heute mal wieder aufgetreten beim Kundensetup: Beim Upgrade von NetScaler VPX 10.5 Build 57 auf NetScaler 11 Build 66 über die GUI stockt der Installationsfortschritt an verschiedenen Stellen und das Upgrade wird nicht abgeschlossen. Im schlimmsten Fall ist im Nachgang die der NetScaler nicht mehr ansprechbar. Reproduzieren konnte ich dieses Verhalten mit 10.5 Build 57 bis Build 60 mit Ziel NetScaler 11 Build 66.

Was kann getan werden?

Es gibt aktuell eine Inkompatibilität zwischen dem neuen Adobe Flash Player 22 und der Citrix XA/XD Flash Redirection. Mehr Info dazu hier. Lösung gibt es dazu aktuell nicht. Der Workaround lautet nicht den Flash Player 22 zu installieren. Wohl wieder mal ein Grund den Flash Player endlich zu beerdigen...

Wie letzte Woche angekündigt ist ab sofort der RES ONE Automation Connector für TOPdesk verfügbar. Nähere Infos dazu gibt es hier.  

Gestern veröffentlichte Microsoft Security Update MS16-072. Heute mehren sich die Probleme bei der Gruppenrichtlinienanwendung. Genauere Überprüfung des Problems ergab, dass unter bestimmten Umständen bei den Gruppenrichtlinien nicht mehr der Benutzer-Teil angewendet wird unter Windows 7, 8, 8.1 10, 2008, 2008 R2, 2012 und 2012 R2.

Was war passiert?

Circa 500 Personen lauschen gerade der RES Keynote in der eindrucksvoll die Fusion und der Weg dort hin aufgezeigt wird. Bob, Al, Carsten und Stacy nehmen uns mit auf eine spannende und schlüssige Reise. Alles im Zeichen weg von der "Technologie zentrischen IT" hin zur "Personen zentrischen IT".

Dabei wird u.a. das Produkt RES ONE Security vorgestellt speziell auf die Sicherheitsbedürfnisse zurecht geschnürt - Erscheinungsdatum Ende Juli.

Außerdem ist ab sofort der RES ONE Service Store 2016 verfügbar mit zahlreichen neuen Funktionen!

Kurz vor der RES FOCUS wurde noch schnell der RES ONE Service Store 2016 veröffentlich. Hier der Link zu den Inhalten und Download. 

Die RES FOCUS Europe 2016 in Amsterdam steht unmittelbar bevor. Vielen spannende Themen werden vorgestellt und diskutiert. Für Kurzentschlossene gibt es hier den Link mit Infos und zur Anmeldung. Countdown T-2d.  

Ich freue mich auf einen regen Austausch und werde berichten über die Neuigkeiten. Stay tuned. 

Der RES Virtual Desktop Extender 2016 ist nun verfügbar mit den folgenden Funktionen:

• Reverse Seamless Apps: Apps that are difficult or impossible to execute on a virtual or central desktop can now be launched and used from within a user’s remote desktop session.
• File Type Redirection: Ensure a local client app is launched when a specific file is opened from the central desktop session. For example, if a user clicks on a .DXF file the locally installed AutoCAD app will automatically open.
• Invoke Local Screensaver: Avoid unnecessary resource use in central desktop environments by launching the local client screen saver.
• Extensive Protocol Support: Extend the central desktop environment through remote session protocol virtual channels. RES VDX supports seamless integration with Citrix XenApp, Citrix XenDesktop (ICA and HDX), Microsoft Remote Desktop Services (RDP and RemoteFX) and VMWare Horizon View (PCoIP).
• Access to Local Start Menu and Desktop: Users can access the local client start menu, including the local desktop and notification area, with a single click.
• Extend VDX with Context-aware Workspace Management: RES VDX integrates with RES One Workspace to add capabilities such as context awareness, granular VDX behavior control and improved personalization for a better user experience.

Nähere Infos gibt es hier.

So geht man offen mit "Issues" um. Sehr löblich und gut gemacht. RES sendete als Nachtrag zum Download der RES ONE Workspace 2015 SR2 die folgenden Infos inkl. der Themen, betroffenen Produkte und Lösungen! Das möchte ich euch nicht vorenthalten...

Storefront 3.6 ist zum Download verfügbar und bietet ein paar spannende neue Funktionen:

- Federated Authentication Support

- Non-Domain Joined Server Deployment

- Load Balancing Non-Identical Sites

- NetScaler Gateway Configuration Simplification

Mehr Infos hierzu gibt es hier. 

Für all diejenigen die sich weiterbilden und zertifizierung möchten kann ich von Heiko Verlande nur wärmsten den Artikel empfehlen zu finden hier. 

Für den RES Workspace Manager, RES ONE Automation, RES ONE Service Store und das Sales Training führt und pflegt er dort die wichtigsten Informationen. Alles schön auf einen Blick - MUST HAVE. 

Auf der Synergy letzte Woche frisch angekündigt und heute bereits verfügbar. XenApp und XenDesktop 7.9 stehen ab sofort zum Download bereit. Nach der Anmeldung gibt es dort den direkten Download für die Produktedition.

Die erste Testinstallation läuft bereits in unserem Lab. Wir sind gespannt...

Sharefile bietet nun auch eine Video-Unterstützung ShareVideo genannt. Damit kann eine Vorschau des Videos nun auch im Browser erfolgen ohne dass das Video vorab herunter geladen werden muss. Bereits getestet und funktioniert auch schon mit der EU Sharefile-Farm. Nähere Infos hier. 

Das Must-Have für den Citrix XA/XD Admin. Der neue Citrix Supportability Pack 1.2.1 ist verfügbar und wurde ergänzt/aktualisiert um spannende Tools:

- Port Check Utility

- Receiver Diagnostics Tool

- Receiver Cleanup Utility

- Scout

- UPS Print Driver Certification Tool

Unbedingt mal vorbeischauen...

Wie soeben auf der Synergy angekündigt ist ab sofort der XenServer 7.0 verfügbar zum Download inkl. dem Intel Iris Pro GPU Support auf den wir sehr gespannt sind. Nach der Anmeldung gibt es dort den direkten Download für die Produktedition. 

Hier kurz zusammengefasst:

• Support for the newest 64-bit hardware and latest Guest operating systems
• Increased vGPU scalability
• In-memory read caching
• Storage and networking performance improvements
• Workload Balancing
• Measured Boot
• XenServer Conversion Manager virtual appliance that can quickly convert hundreds of VMware vSphere virtual machines to XenServer format

Citrix lädt mal wieder ein zur Synergy nach Las Vegas. Neuigkeiten kurz zusammengefasst:

- XenSever 7 ist verfügbar inkl. Intel Iris Pro GPU Support. Hier die Infos zu den Neuigkeiten. 

- XenDesktop/XenApp 7.9 kommen im Juni 2016. Die Ankündigung gibt es hier.

- NetScaler CPX.

- Sharefile mit Office 365 Unterstützung und Rechtemanagement.

- Und alles natürlich unter dem Namen von Citrix Cloud.

- Anpassung der strategischen Ausrichtung.

- GoToProdukte sind nur noch Beiwerk...

Plus so einiges andere was sich geändert hat. Es bleibt spannend wo das alles hinführt. 

Citrix ist ein unerlässlicher Hersteller für unsere tägliche Arbeit. Um auch andere an wichtigen Infos, News und Hilfreichem teilnehmen zu lassen werden wir in diesem Blog regelmäßig neue Themen beschreiben. Jeder ist zur Diskussion gerne einladen. Wir freuen uns auf Feedback. 

RES ist ein unerlässlicher Hersteller für unsere tägliche Arbeit. Um auch andere an wichtigen Infos, News und Hilfreichem teilnehmen zu lassen werden wir in diesem Blog regelmäßig neue Themen beschreiben. Jeder ist zur Diskussion gerne einladen. Wir freuen uns auf Feedback.