[English]Noch ein Nachtrag von dieser Woche zum Hersteller Citrix. Dieser hat ein Security Bulletin für die Schwachstellen CVE-2023-24484 und CVE-2023-24485 in der Citrix Workspace App for Windows herausgegeben. Administratoren, die die Workspace-App verwenden, sollten also updaten. Zudem hat mich ein Blog-Leser auf Probleme mit der Installation der Citrix Workspace App 2302 for Windows hingewiesen. Ich fasse diese beiden Themen mal in einem Artikel zusammen.
Anzeige
Citrix Security Bulletin
Ich war bereits auf Twitter über nachfolgenden Tweet von Thorsten E. auf das Security Bulletin vom 14. Februar 2023 für die Schwachstellen CVE-2023-24484 und CVE-2023-24485 in der Citrix Workspace App for Windows gestoßen.
Unter den genannten CVEs ermöglichen Schwachstellen einem Angreifer mit normalen Benutzerrechten über die Citrix Workspace-Anwendung SYSTEM-Berechtigungen zu erlangen. Die Sicherheitsanfälligkeit betrifft die folgenden unterstützten Versionen von Citrix Workspace App für Windows:
- Citrix Workspace App-Versionen vor 2212
- Citrix Workspace App 2203 LTSR vor CU2
- Citrix Workspace App 1912 LTSR vor CU7 Hotfix 2 (19.12.7002)
Ist das automatische Update aktiviert, erhalten die Systeme einen Patch, der diese Schwachstellen schließt. Citrix-Administratoren sollten die Updates zeitnah installieren, rät der Hersteller. Details lassen sich im Security Bulletin CTX477617 (Citrix Workspace app for Windows Security Bulletin for CVE-2023-24484 & CVE-2023-24485) nachlesen.
Anzeige
Blog-Leser Christian R. hat mich per Mail auf weitere Security Bulletins von Citrix hingewiesen (danke dafür). ER schrieb:
Citrix hat am 14 einige Sicherheitslücken in seinen Produkten veröffentlicht.
Betroffen ist die Workspace App (Linux+Windows) und die Serverkomponente, der Citrix VDA:
Alle Security Bulletins sind vom 14. Februar 2023 und halten die benötigten Details bereit.
Installationsprobleme mit Citrix Workspace App 2302
Blog-Leser Dominique H. hat mich heute Morgen per Mail auf ein Installationsproblem bei der Citrix Workspace App 2302 hingewiesen (danke dafür) und schreibt:
Sehr geehrter Herr Born,
wir versuchen bereits seit gestern die Citrix Workspace App 2302 for Windows zu installieren.
Leider muss sich in der Installationsdatei CitrixWorkspaceApp.exe irgend einen Fehler eingeschlichen haben.
Die Installationsroutine läuft zwar ohne Probleme durch, die *.ica dateien werden jedoch nicht mit der Workspace App verknüpft bzw. gibt es keinen Citrix Workspace im Autostart von Windows.
Getestet wurde dies von uns derzeit ausschließlich unter Windows 11 22H2 und Windows 10 21H2
Dominique führt den heise-Bericht Sicherheitsupdates: Fernzugriffslösung Citrix Workspace attackierbar als Grund zum Patchen an. Die Citrix Workspace App 2302 ist in diesem Citrix-Beitrag beschrieben. Carl Stalhood hat hier ebenfalls Hinweise zur App gepostet.
Bereits am 3. Februar 2023 wurde im Citrix-User-Forum ein Beitrag Citrix Workspace 2302 install failing zum Installationsproblemen gepostet. Das Problem konnte durch Löschen des Schlüssels:
HKEY_LOCAL_MACHINE\SOFTWARE\Citrix
gelöst werden. Das von Dominique H. beschriebene Problem ist mir aber bisher noch nicht untergekommen. Hat jemand aus der Leserschaft da den Fehler oder kennt sogar eine Lösung?
Anzeige
Bei uns sind die LTSR-Versionen im Einsatz und damit gibt es keine Probleme.
Wie dem auch sei, ich war heute im Büro (Patchday bzw. Server Updates)
und habe die Version 2302 paketiert und auf einem Test-PC (Windows 10 Enterprise 22H2) installiert.
Die beschriebenen Probleme kann ich nicht nachvollziehen und alles funktioniert.
Ggf. empfehle ich mal ein Blick in die Windows Ereignisanzeige, gibt es dort Fehlermeldungen?
Ansonsten:
Wir haben am 10.12.2022 über den Support von Citrix einen Hinweis
auf die Sicherheitslücken und die aktuellen Patches erhalten.
Am 11.12.2022 haben wir daraufhin die nachfolgenden Updates eingespielt:
Server:
Citrix Virtual Apps and Desktops 2203 LTSR CU2
Clients:
Citrix Workspace App 2203 LTSR CU2
Warum die Sicherheitswarnunegn bzw. Security Bulletins am 14.02.2023 nochmals aktualisiert wurden kann ich nicht beurteilen.
Hallo,
also Installationsprobleme konnte ich nicht feststellen.
Wir hatten das Problem das mit der Version SSO aktiviert wurde.
Deshalb haben wir keine Verbindung mehr hinbekommen.
Nach Deaktivierung der Features bei der Installation, schaut es gut aus.
Michael
Guten Morgen,
keine probleme bis jetzt mit "CitrixWorkspaceApp2302_038" bei Win 10 Clients.
Hallo zusammen, bei uns (deutschlandweite Behörde) gibt es genau dieses Problem seit dem Update im Januar 2023. Lösungsvorschlag der IT ist, es nicht zu installieren, oder die .ICA Dateien zu löschen und neu zu installieren. Leider hat sich das Update (oder ein neues?) bei mir an Freitag während der Anwendung im Hintergrund installiert. Das habe ich erst gemerkt, als Citrix eingefroren ist und auf dem Home-Desktop nach dem Schließen ein Popup war "danke für die Installation".
Bei mir hat der Lösungsvorschlag nicht funktioniert. Nach Start der Anwendung, LogIn und Klick auf den Button zum virtuellen Desktop wird gefragt, ob die .ica Datei geöffnet oder gespeichert werden soll – was schon falsch ist. Danach lädt die Verbindung, baut sich aber nicht tatsächlich auf. Ich werde am Montag mit unserer IT telefonieren.
Leider kann ich nicht mehr dazu sagen, bin reiner Anwender und durch googlen auf diesen Beitrag gestoßen.
Netten Gruß