Citrix raadt Python 2.x aan voor patchcontrole

Citrix geeft IT-beheerders het advies om te controleren of ze de net uitgebrachte kritieke patches voor het grote, actief misbruikte beveiligingsgat wel goed hebben geïnstalleerd. Dit nadat al is gebleken dat eerder verstrekte informatie (mitigations) voor afdekken van het Citrix-gat niet in alle gevallen echt bescherming biedt. In het advies voor controle van patches verwijst de leverancier naar Python-versie 2, die officieel end-of-life (EOL) is.

Jasper BakkerredacteurMeer van deze auteur

Citrixi simplify, vereenvoudigen, IT-landschap, IT landscape — © Citrix

Citrix

"Om de tool te draaien, doe alstublief het volgende: installeer Python 2.x of 3.x, installeer de cURL-tool", luiden de instructies die Citrix geeft voor zijn patch-verificatietool. Dit hulpmiddel controleert IT-omgevingen op kwetsbare installaties van Citrix ADC- (Application Delivery Controller) en Gateway-producten. Klanten wordt daarbij ook aangeraden om de verificatietool te draaien nadat ze Citrix' mitigations hebben doorgevoerd. Dit om zeker te zijn van correcte werking van die beperkende maatregelen.

'Al 5 jaar overduidelijk'

De 2.x-reeks van Python zit echter aan het einde van de officiële support- en ontwikkelperiode. Dit end-of-life (EOL) is al geruime tijd bekend, en laatst nog opgeschort van januari dit jaar naar april. Het oorspronkelijke plan was zelfs om in 2015 al afscheid te nemen van Python 2.x. Volgens de aangepaste huidige planning krijgt de meest actuele Python-versie 2.7 in april nog een beveiligingsupdate (2.7.18).

"Organisaties hebben al tien jaar geleden een waarschuwing gehad en al zeker vijf jaar is overduidelijk wat ze moesten doen", vertelde Python-maker Guido van Rossum in gesprek met AG Connect. Opvolger Python 3.x is al sinds december 2008 uit, maar vormt geen simpele, volledig compatibele upgrade. Van Rossum noemt dit in zijn interview met AG Connect de grootste fout in het dertigjarige bestaan van de door hem gecreëerde programmeertaal.

Advies van januari 2020

Het Citrix-advies om Python 2.x of 3.x te installeren, is vorige week woensdag (15 januari) aangemaakt, en gister (20 januari) nog gewijzigd. Het is van toepassing op applicatieserver-loadbalancer ADC, remote-toegangsserver Gateway en Citrix' optimalisatie-appliance voor software-defined wide-area networks SD-WAN WANOP. Alledrie deze producten zijn hackbaar via een kwetsbaarheid die op 17 december is geopenbaard door de leverancier. Die had toen nog geen patches klaar, maar gaf wel beperkende maatregelen (mitigations).

Daarmee is echter ook nuttige informatie voor exploitmakers vrijgegeven. Dat heeft op 8 januari geleid tot publiek beschikbare exploitcode, waarna kwaadwillenden wereldwijd aanvallen zijn gaan ondernemen. Afgelopen zondag (19 januari) zijn de eerste patches uitgekomen, voor enkele versies van de getroffen Citrix-producten. De resterende versies, die nu dus nog kwetsbaar kunnen zijn, krijgen volgens Citrix' planning vrijdag (24 januari) hun patches.