Giriş
Citrix, NetScaler ADC (eski adıyla Citrix ADC) ve NetScaler Gateway (eski adıyla Citrix Gateway) için kritik güvenlik güncellemeleri yayınladı. Bu güncellemeler, saldırganların dosya okuma veya hizmet kesintisi (DoS) gerçekleştirerek sistemlere zarar verme potansiyelini azaltmaktadır.
Etkilenen Sistemler
Yapılan güncellemeler, aşağıdaki CVE kodlarıyla tanımlanan çeşitli güvenlik açıklarını kapsamaktadır:
- CVE-2026-8451 (CVSS skoru: 8.8) – Yetersiz girdi doğrulama açığı, NetScaler ADC veya NetScaler Gateway SAML IDP olarak yapılandırıldığında bellek aşımına neden olmaktadır.
- CVE-2026-8452 (CVSS skoru: 8.8) – Bellek taşması açığı, cihaz Gateway veya AAA sanal sunucu olarak yapılandırıldığında belirsiz veya hatalı davranışa ve DoS durumuna yol açmaktadır.
- CVE-2026-8655 (CVSS skoru: 8.8) – Birden fazla bellek taşması açığı, NetScaler ADC Oracle, DNS Proxy veya DNS rekürsif çözücü olarak yapılandırıldığında belirsiz veya hatalı davranışa ve DoS durumuna neden olmaktadır.
- CVE-2026-10816 (CVSS skoru: 7.7) – Harici dosya adı kontrolü açığı, yönetim erişimi açıkken NSIP, Cluster Management IP veya SNIP’ye erişimin sağlanması durumunda kimlik doğrulama gerektirmeyen dosya okuma sağlar.
- CVE-2026-10817 (CVSS skoru: 6.9) – Yetersiz girdi doğrulama açığı, TCP Zaman Damgası etkinleştirildiğinde bellek aşımına neden olur.
- CVE-2026-13474 (CVSS skoru: 8.7) – Etkili ömrün ardından hafıza serbest bırakma açığı, HTTP/2 etkinleştirildiğinde bozuk HTTP/2 istekleri yoluyla DoS’a neden olur.
Patch ve Güncellemeler
Güvenlik açıkları için yamalar, aşağıdaki sürümlerde yayınlanmıştır:
- NetScaler ADC ve NetScaler Gateway 14.1-72.61 ve sonrası
- NetScaler ADC ve NetScaler Gateway 13.1-63.18 ve 13.1’in sonraki sürümleri
- NetScaler ADC 14.1-FIPS 14.1-72.61 FIPS ve sonrası
- NetScaler ADC 13.1-FIPS ve 13.1-NDcPP 13.1.37.272 ve sonraki sürümler
CVE-2026-13474 için, müşteri yapılandırmalarını güncelleyerek Http2SmallWndTimeout parametresini ayarlamaları önerilmektedir. Parametre ayarları:
- HTTP Katı Profilleri kullanan cihazlarda bu parametre varsayılan olarak 30 saniye olarak ayarlanmıştır.
- HTTP Katı Profilleri kullanmayan cihazlarda varsayılan değer 0 ‘dır. Yalnızca yamaları güncellemek, açığı tam olarak kapatmayabilir. Kullanıcıların bu durumu düzeltebilmek için Http2SmallWndTimeout ‘ı 30 saniye olarak manuel olarak ayarlamaları gerekecektir.
Aksiyon ve Sonuç
Sistem yöneticilerinin, yukarıda belirtilen sürümlere güncelleme yapmaları ve Http2SmallWndTimeout parametresini uygun şekilde ayarlamaları gerekmektedir. Ayrıca, tüm NetScaler cihazlarının güvenliğini artırmak için gerekli yamaların uygulanması kritik öneme sahiptir. Unutmayın ki, güncel olmayan sistemler siber saldırganlar için hedef olabilir.


