PT-2022-17806 · Microsoft+1 · Software Key Storage Provider+2
Publicado
2022-03-09
·
Atualizado
2022-03-18
·
CVE-2022-26355
CVSS v3.1
4.4
Média
| Vetor | AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:N/A:N |
Nome do software vulnerável e versões afetadas
Citrix Federated Authentication Service (FAS), versões 7.17 a 10.6
Descrição
O problema ocorre quando o Citrix Federated Authentication Service (FAS) é configurado para armazenar a chave privada de um certificado de autoridade de registro em um Trusted Platform Module (TPM) usando o PowerShell. Em vez de armazenar a chave no TPM, ela é armazenada incorretamente no Microsoft Software Key Storage Provider (MSKSP). Esse problema não ocorre se o console de administração do FAS for usado para a configuração ou se o TPM não for selecionado.
Recomendações
Para as versões 7.17 a 10.6 do Citrix Federated Authentication Service (FAS), como solução alternativa temporária, considere evitar o uso do PowerShell para configurar o FAS para armazenar a chave privada do certificado da autoridade de registro no TPM. Em vez disso, use o console de administração do FAS para a configuração, a fim de impedir que a chave privada seja armazenada no Microsoft Software Key Storage Provider (MSKSP).
No momento, não há informações sobre uma versão mais recente que contenha uma correção para essa vulnerabilidade.
Exposure of Resource to Wrong Sphere
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Citrix Federated Authentication Service
Software Key Storage Provider
Powershell