Application Delivery Management

Sicherheitsrisiko CVE-2021-22956 identifizieren und korrigieren

Im NetScaler ADM Security Advisory Dashboard unterAktuelle CVEs <number of>ADC-Instanzen sind von allgemeinen Schwachstellen und Exposures (CVEs) betroffen, können Sie alle Instanzen sehen, die aufgrund dieser speziellen CVE anfällig sind. Um die Details der von CVE-2021-22956 betroffenen Instanzen zu überprüfen, wählen Sie CVE-2021-22956 und klicken Sie auf Betroffene Instanzen anzeigen.

Sicherheitsberatungs-Dashboard für CVE-2021-22927 und CVE-2021-22920

Das Fenster “Von CVEs betroffene<number of>ADC-Instanzen” wird angezeigt. Hier sehen Sie die Anzahl und Details der ADC-Instanzen, die von CVE-2021-22956 betroffen sind.

Instanzen, die von CVE-2020-8300 betroffen sind

Weitere Informationen zum Security Advisory Dashboard finden Sie unter Security Advisory.

Hinweis

Es kann einige Zeit dauern, bis der Scan des Sicherheitsberatungssystems abgeschlossen ist und die Auswirkungen von CVE-2021-22956 im Sicherheitsberatungsmodul widerspiegelt. Um die Auswirkungen früher zu erkennen, starten Sie einen On-Demand-Scan, indem Sie auf Jetzt scannenklicken.

Identifizieren von CVE-2021-22956 betroffenen Instanzen

CVE-2021-22956 erfordert einen benutzerdefinierten Scan, bei dem der ADM Service eine Verbindung mit der verwalteten ADC-Instanz herstellt und ein Skript an die Instanz sendet. Das Skript wird auf der ADC-Instanz ausgeführt und überprüft die Parameter der Apache-Konfigurationsdatei (httpd.conf file) und die maximalen Clientverbindungen (maxclient), um festzustellen, ob eine Instanz verwundbar ist oder nicht. Die Informationen, die das Skript mit dem ADM Service teilt, sind der Schwachstellenstatus im booleschen Wert (true oder false). Das Skript gibt dem ADM Service auch eine Liste von Zählern für max_clients für verschiedene Netzwerkschnittstellen zurück, z. B. lokaler Host, NSIP und SNIP mit Verwaltungszugriff.

Dieses Skript wird jedes Mal ausgeführt, wenn Ihre geplanten Scans auf Anforderung ausgeführt werden. Nachdem der Scan abgeschlossen ist, wird das Skript aus der ADC-Instanz gelöscht.

Korrigieren CVE-2021-22956

Für von CVE-2021-22956 betroffene ADC-Instanzen ist die Behebung ein zweistufiger Prozess. In der GUI können Sie unterAktuelle CVEs > ADC-Instanzen sind von CVEs betroffen, Schritt 1 und 2 sehen.

Korrekturschritte für CVE-2021-22927 und CVE-2021-22920

Die zwei Schritte beinhalten:

  1. Upgrade der anfälligen ADC-Instanzen auf eine Version und einen Build, der das Update enthält.

  2. Anwenden der erforderlichen Konfigurationsbefehle mithilfe der anpassbaren integrierten Konfigurationsvorlage in Konfigurationsaufträgen.

Unter Aktuelle CVEs > ADC-Instanzen, die von CVEs betroffen sind, sehen Sie zwei separate Workflows für diesen zweistufigen Standardisierungsprozess: Fortfahren zum Upgrade-Workflow und Weiter zum Workflow des Konfigurationsauftrags.

Workflows zur Behebung

Schritt 1: Upgrade der anfälligen ADC-Instanzen

Um ein Upgrade der anfälligen Instanzen durchzuführen, wählen Sie die Instanzen aus und klicken Sie auf Fortfahren mit Der Upgrade-Workflow wird mit den bereits aufgefüllten anfälligen ADC-Instanzen geöffnet

Weitere Informationen zur Verwendung von NetScaler ADM zum Aktualisieren von ADC-Instanzen finden Sie unter Erstellen eines ADC-Upgrade-Auftrags.

Hinweis

Dieser Schritt kann für alle anfälligen ADC-Instanzen sofort ausgeführt werden.

Schritt 2: Anwenden von Konfigurationsbefehlen

Nachdem Sie die betroffenen Instanzen aktualisiert haben, wählen Sie im Fenster <number of> Von CVEs betroffene ADC-Instanzen die von CVE-2021-2295 betroffene Instanz aus und klicken Sie auf Weiter zum Workflow des Konfigurationsauftrags. Der Workflow umfasst die folgenden Schritte.

  1. Anpassen der Konfiguration.
  2. Überprüfung der automatisch ausgefüllten betroffenen Instanzen.
  3. Angabe von Eingaben für Variablen für den Job.
  4. Überprüfung der endgültigen Konfiguration mit aufgefüllten Variableneingaben.
  5. Den Job ausführen.

Beachten Sie die folgenden Punkte, bevor Sie eine Instanz auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken:

  • Für eine ADC-Instanz, die von mehreren CVEs betroffen ist (z. B. CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 und CVE-2021-22956): Wenn Sie die Instanz auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken, wird die integrierte Konfigurationsvorlage unter Konfiguration auswählen nicht automatisch ausgefüllt. Ziehen Sie die entsprechende Konfigurationsjob-Vorlage manuell unter Security Advisory Template in den Konfigurationsjob-Fensterbereich auf der rechten Seite.

  • Für mehrere ADC-Instanzen, die nur von CVE-2021-22956 betroffen sind: Sie können Konfigurationsjobs auf allen Instanzen gleichzeitig ausführen. Sie haben beispielsweise ADC 1, ADC 2 und ADC 3, und alle von ihnen sind nur von CVE-2021-22956 betroffen. Wählen Sie alle diese Instanzen aus und klicken Sie auf Weiter zum Workflow des Konfigurationsauftrags. Die integrierte Konfigurationsvorlage wird automatisch unter Konfiguration auswählenausgefüllt. Beziehen Sie sich auf das bekannte Problem NSADM-80913 in den Versionshinweisen.

  • Bei mehreren ADC-Instanzen, die von CVE-2021-22956 betroffen sind, und einem oder mehreren anderen CVEs (z. B. CVE-2020-8300, CVE-2021-22927 und CVE-2021-22920), bei denen die Standardisierung auf jeden ADC gleichzeitig angewendet werden muss: Wenn Sie diese Instanzen auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken, wird ein Fehler angezeigt Es wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Konfigurationsjob auf jedem ADC gleichzeitig auszuführen.

Schritt 1: Konfiguration wählen

Im Workflow des Konfigurationsauftrags wird die integrierte Konfigurationsbasisvorlage automatisch unter Konfiguration auswählen ausgefüllt.

Konfiguration wählen

Schritt 2: Wählen Sie die Instanz aus

Die betroffene Instanz wird automatisch unter Ausgewählte Instanzenaufgefüllt. Wählen Sie die Instanz aus. Wenn diese Instanz Teil eines HA-Paars ist, wählen Sie Auf sekundären Knoten ausführenaus. Klicken Sie auf Weiter.

Instanz wählen

Hinweis

Für ADC-Instanzen im Clustermodus unterstützt ADM mithilfe der ADM-Sicherheitsempfehlung die Ausführung des Konfigurationsauftrags nur auf dem CCO-Knoten (Cluster Configuration Coordinator). Führen Sie die Befehle auf Nicht-CCO-Knoten separat aus.

rc.netscaler wird über alle HA- und Clusterknoten hinweg synchronisiert, sodass die Standardisierung nach jedem Neustart dauerhaft ist.

Schritt 3: Variablenwerte angeben

Geben Sie die Werte der Variablen ein.

Variablen spezifizieren

Wählen Sie eine der folgenden Optionen aus, um Variablen für Ihre Instanzen anzugeben:

Gemeinsame Variablenwerte für alle Instanzen: Geben Sie einen gemeinsamen Wert für die Variable ein max_client.

Eingabedatei für Variablenwerte hochladen: Klicken Sie auf Eingabeschlüsseldatei herunterladen, um eine Eingabedatei herunterzuladen. Geben Sie in der Eingabedatei Werte für die Variable max_client ein und laden Sie die Datei dann auf den ADM-Server hoch. Lesen Sie das bekannte Problem NSADM-80913 in den Versionshinweisen zu einem Problem mit dieser Option.

Hinweis

Für beide oben genannten Optionen ist der empfohlene Wert für max_client 30. Sie können den Wert entsprechend Ihrem aktuellen Wert festlegen. Sollte jedoch nicht Null sein, und sollte kleiner oder gleich max_client in der Datei /etc/httpd.conf sein. Sie können den aktuellen Wert überprüfen, der in der Konfigurationsdatei des Apache HTTP-Servers /etc/httpd.conf festgelegt ist, indem Sie die Zeichenfolge MaxClients in der ADC-Instanz suchen

Schritt 4: Vorschau der Konfiguration

Zeigt eine Vorschau der in die Konfiguration eingefügten Variablenwerte an und klicken Sie auf Weiter.

Vorschau des Jobs anzeigen

Schritt 5: Führen Sie den Job aus

Klicken Sie auf Fertigstellen, um den Konfigurationsauftrag auszuführen.

Konfigurationsjob ausführen

Nachdem der Job ausgeführt wurde, wird er unter Infrastruktur > Konfiguration > Konfigurationsjobsangezeigt.

Nachdem Sie die beiden Korrekturschritte für alle anfälligen ADCs abgeschlossen haben, können Sie einen Anforderungsscan ausführen, um die überarbeitete Sicherheitslage zu überprüfen.

Sicherheitsrisiko CVE-2021-22956 identifizieren und korrigieren