SQL-Einspeisung gegen Citrix Application Gateway

Über eine Sicherheitslücke in Citrix Application Gateway Broadcast Server können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen.

Laut einem Bericht von Secunia tritt die Schwachstelle in Version 6.0 des Citrix Application Gateway Broadcast Server auf. Andere Versionen der Anwendung sind unter Umständen ebenfalls betroffen. Die Sicherheitslücke ist auf die mangelhafte Bereinigung von Eingaben zurückzuführen, die über das Webinterface an die Anwendung übergeben werden. Durch gezielte Manipulation dieser Eingaben können Angreifer beliebigen SQL-Code in die Datenbank eines betroffenen Systems einspeisen. Die Lücke wird mit Version 6.1 des Citrix Application Gateway Broadcast Server behoben. (twi)