Sicherheitsrisiko CVE-2020-8300 korrigieren
Im NetScaler ADM Security Advisory Dashboard unter Current CVEs > <number of> ADC instances are impacted by CVEs, können Sie alle Instanzen sehen, die aufgrund dieses speziellen CVE anfällig sind. Um die Details der von CVE-2020-8300 betroffenen Instanzen zu überprüfen, wählen Sie CVE-2020-8300 aus und klicken Sie auf Betroffene Instanzen anzeigen.
Hinweis
Weitere Informationen zum Security Advisory Dashboard finden Sie unter Security Advisory.
Das Fenster <number of> ADC instances impacted by CVEs wird angezeigt. Hier sehen Sie die Anzahl und Details der ADC-Instanzen, die von CVE-2020-8300 betroffen sind.
CVE-2020-8300 korrigieren
Bei ADC-Instanzen, die von CVE-2020-8300 betroffen sind, ist die Standardisierung ein zweistufiger Prozess. In der GUI können Sie unter Aktuelle CVEs > ADC-Instanzen sind von CVEs betroffen, Schritt 1 und 2 sehen.
Die zwei Schritte beinhalten:
- Upgrade der anfälligen ADC-Instanzen auf eine Version und einen Build, der das Update enthält.
- Anwenden der erforderlichen Konfigurationsbefehle mithilfe der anpassbaren integrierten Konfigurationsvorlage in Konfigurationsaufträgen. Führen Sie diesen Schritt für jeden anfälligen ADC nacheinander aus und schließen Sie alle SAML-Aktionen und SAML-Profile für diesen ADC ein.
Unter Aktuelle CVEs > ADC-Instanzen, die von CVEs betroffen sind, sehen Sie zwei separate Workflows für diesen zweistufigen Standardisierungsprozess: Fortfahren zum Upgrade-Workflow und Weiter zum Workflow des Konfigurationsauftrags.
Schritt 1: Upgrade der anfälligen ADC-Instanzen
Um ein Upgrade der anfälligen Instanzen durchzuführen, wählen Sie die Instanzen aus und klicken Sie auf Fortfahren mit Der Upgrade-Workflow wird mit den bereits aufgefüllten anfälligen ADC-Instanzen geöffnet
Weitere Informationen zur Verwendung von NetScaler ADM zum Aktualisieren von ADC-Instanzen finden Sie unter Erstellen eines ADC-Upgrade-Auftrags.
Hinweis
Dieser Schritt kann für alle anfälligen ADC-Instanzen sofort ausgeführt werden.
Schritt 2: Anwenden von Konfigurationsbefehlen
Nachdem Sie die betroffenen Instanzen aktualisiert haben, wählen Sie im Fenster <number of> Von CVEs betroffene ADC-Instanzen eine Instanz aus, die von CVE-2020-8300 betroffen ist, und klicken Sie auf Weiter zum Workflow des Konfigurationsauftrags. Der Workflow umfasst die folgenden Schritte.
- Anpassen der Konfiguration.
- Überprüfung der automatisch ausgefüllten betroffenen Instanzen.
- Angabe von Eingaben für Variablen für den Job.
- Überprüfung der endgültigen Konfiguration mit aufgefüllten Variableneingaben.
- Den Job ausführen.
Beachten Sie die folgenden Punkte, bevor Sie eine Instanz auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken:
-
Für eine ADC-Instanz, die von mehreren CVEs betroffen ist (z. B. CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 und CVE-2021-22956): Wenn Sie die Instanz auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken, wird die integrierte Konfigurationsvorlage unter Konfiguration auswählen nicht automatisch ausgefüllt. Ziehen Sie die entsprechende Konfigurationsjob-Vorlage manuell unter Security Advisory Template in den Konfigurationsjob-Fensterbereich auf der rechten Seite.
-
Für mehrere ADC-Instanzen, die nur von CVE-2021-22956 betroffen sind: Sie können Konfigurationsjobs auf allen Instanzen gleichzeitig ausführen. Sie haben beispielsweise ADC 1, ADC 2 und ADC 3, und alle von ihnen sind nur von CVE-2021-22956 betroffen. Wählen Sie alle diese Instanzen aus und klicken Sie auf Weiter zum Workflow des Konfigurationsauftrags. Die integrierte Konfigurationsvorlage wird automatisch unter Konfiguration auswählenausgefüllt.
-
Bei mehreren ADC-Instanzen, die von CVE-2021-22956 betroffen sind, und einem oder mehreren anderen CVEs (z. B. CVE-2020-8300, CVE-2021-22927 und CVE-2021-22920), bei denen die Standardisierung auf jeden ADC gleichzeitig angewendet werden muss: Wenn Sie diese Instanzen auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken, wird ein Fehler angezeigt Es wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Konfigurationsjob auf jedem ADC gleichzeitig auszuführen.
Schritt 1: Konfiguration wählen
Im Workflow des Konfigurationsauftrags wird die integrierte Konfigurationsvorlage automatisch unter Konfiguration auswählenausgefüllt.
Führen Sie nacheinander einen separaten Konfigurationsauftrag für jede betroffene ADC-Instanz aus und schließen Sie alle SAML-Aktionen und SAML-Profile für diesen ADC ein. Wenn Sie beispielsweise zwei anfällige ADC-Instanzen mit jeweils zwei SAML-Aktionen und zwei SAML-Profilen haben, müssen Sie diesen Konfigurationsauftrag zweimal ausführen. Einmal pro ADC, das alle seine SAML-Aktionen und SAML-Profile abdeckt.
| ADC 1 | ADC2 |
|---|---|
| Job 1: zwei SAML-Aktionen +zwei SAML-Profile | Job 2: zwei SAML-Aktionen +zwei SAML-Profile |
Geben Sie dem Job einen Namen und passen Sie die Vorlage an die folgenden Spezifikationen an. Die integrierte Konfigurationsvorlage ist nur eine Gliederung oder Basisvorlage. Passen Sie die Vorlage basierend auf Ihrer Bereitstellung an die folgenden Anforderungen an:
a. SAML-Aktionen und die zugehörigen Domänen
Abhängig von der Anzahl der SAML-Aktionen, die Sie in Ihrer Bereitstellung haben, müssen Sie die Zeilen 1—3 replizieren und die Domänen für jede SAML-Aktion anpassen.
Wenn Sie beispielsweise zwei SAML-Aktionen haben, wiederholen Sie die Zeilen 1—3 zweimal und passen Sie die Variablendefinitionen für jede SAML-Aktion entsprechend an.
Und wenn Sie N Domänen für eine SAML-Aktion haben, müssen Sie die Zeile bind patset $saml_action_patset$ “$saml_action_domain1$” mehrmals manuell eingeben, um sicherzustellen, dass die Zeile N Mal für diese SAML-Aktion angezeigt wird. Und ändern Sie die folgenden Variablendefinitionsnamen:
-
saml_action_patset: ist die Konfigurations-Template-Variable und stellt den Wert des Namens des Mustersatzes (patset) für die SAML-Aktion dar. Sie können den tatsächlichen Wert in Schritt 3 des Konfigurationsjob-Workflows angeben. Weitere Informationen finden Sie im Abschnitt Schritt 3: Variablenwerte angeben in diesem Dokument. -
saml_action_domain1: ist die Konfigurationsvorlagenvariable und stellt den Domänennamen für diese spezifische SAML-Aktion dar. Sie können den tatsächlichen Wert in Schritt 3 des Konfigurationsjob-Workflows angeben. Weitere Informationen finden Sie im Abschnitt Schritt 3: Variablenwerte angeben in diesem Dokument.
Führen Sie den Befehl aus, um alle SAML-Aktionen für ein Gerät zu finden show samlaction.
b. SAML-Profile und die zugehörigen URLs
Replizieren Sie die Zeilen 4—6, abhängig von der Anzahl der SAML-Profile, die Sie in Ihrer Bereitstellung haben. Passen Sie die URLs für jedes SAML-Profil an.
Wenn Sie beispielsweise zwei SAML-Profile haben, geben Sie die Zeilen 4—6 zweimal manuell ein und passen Sie die Variablendefinitionen für jede SAML-Aktion entsprechend an.
Und wenn Sie N Domänen für eine SAML-Aktion haben, müssen Sie die Zeile bind patset $saml_profile_patset$ “$saml_profile_url1$” mehrmals manuell eingeben, um sicherzustellen, dass die Zeile N Mal für dieses SAML-Profil angezeigt wird. Und ändern Sie die folgenden Variablendefinitionsnamen:
-
saml_profile_patset: ist die Konfigurations-Template-Variable und stellt den Wert des Namens des Mustersatzes (Patset) für das SAML-Profil dar. Sie können den tatsächlichen Wert in Schritt 3 des Konfigurationsjob-Workflows angeben. Weitere Informationen finden Sie im Abschnitt Schritt 3: Variablenwerte angeben in diesem Dokument. -
saml_profile_url1: ist die Konfigurationsvorlagenvariable und stellt den Domänennamen für dieses spezifische SAML-Profil dar. Sie können den tatsächlichen Wert in Schritt 3 des Konfigurationsjob-Workflows angeben. Weitere Informationen finden Sie im Abschnitt Schritt 3: Variablenwerte angeben in diesem Dokument.
Führen Sie den Befehl show samlidpProfile aus, um alle SAM-Profile für ein Gerät zu finden.
Schritt 2: Wählen Sie die Instanz aus
Die betroffene Instanz wird automatisch unter Ausgewählte Instanzenaufgefüllt. Wählen Sie die Instanz und klicken Sie auf Weiter.
Schritt 3: Variablenwerte angeben
Geben Sie die Werte der Variablen ein.
-
saml_action_patset: Namen für die SAML-Aktion hinzufügen -
saml_action_domain1: Domäne im Formathttps://<example1.com>/eingeben -
saml_action_name: Dieselbe SAML-Aktion eingeben, für die Sie den Job konfigurieren -
saml_profile_patset: Namen für das SAML-Profil hinzufügen -
saml_profile_url1: URL in diesem Format eingeben:https://<example2.com>/cgi/samlauth -
saml_profile_name: Dasselbe SAML-Profil eingeben, für das Sie den Job konfigurieren
Hinweis
Für URLs ist die Erweiterung nicht immer
cgi/samlauth. Es hängt davon ab, welche Autorisierung durch Dritte Sie haben, und dementsprechend müssen Sie die Erweiterung angeben.
Schritt 4: Vorschau der Konfiguration
Zeigt eine Vorschau der in die Konfiguration eingefügten Variablenwerte an und klicken Sie auf Weiter.
Schritt 5: Führen Sie den Job aus
Klicken Sie auf Fertigstellen, um den Konfigurationsauftrag auszuführen.
Nachdem der Job ausgeführt wurde, wird er unter Infrastruktur > Konfiguration > Konfigurationsjobsangezeigt.
Nachdem Sie die beiden Korrekturschritte für alle anfälligen ADCs abgeschlossen haben, können Sie einen Anforderungsscan ausführen, um die überarbeitete Sicherheitslage zu überprüfen.
Zu beachtende Punkte für das NetScaler ADM Express-Konto
Das NetScaler ADM Express-Konto verfügt über eingeschränkte Funktionen, zu denen nur Einschränkungen für zwei Konfigurationsaufträge gehören.
Für die CVE-2020-8300-Korrektur müssen Sie so viele Konfigurationsaufträge ausführen wie die Anzahl Ihrer anfälligen ADC-Instanzen. Wenn Sie also ein Express-Konto haben und mehr als zwei Konfigurationsaufträge ausführen müssen, befolgen Sie diese Problemumgehung.
Problemumgehung: Führen Sie zwei Konfigurationsjobs für zwei anfällige ADC-Instanzen aus und löschen Sie dann beide Jobs, um die nächsten beiden Jobs für die nächsten beiden anfälligen ADC-Instanzen weiter auszuführen. Fahren Sie fort, bis Sie alle anfälligen Instanzen abgedeckt haben. Bevor Sie die Jobs löschen, können Sie den Bericht zur späteren Verwendung herunterladen. Um den Bericht herunterzuladen, wählen Sie unter Netzwerk > Jobsdie Jobs aus und klicken Sie unter Aktionen auf Herunterladen.
Beispiel: Wenn Sie sechs anfällige ADC-Instanzen haben, führen Sie jeweils zwei Konfigurationsjobs auf zwei anfälligen Instanzen aus und löschen Sie dann beide Konfigurationsjobs. Wiederholen Sie diesen Schritt noch zweimal. Am Ende hätten Sie sechs Konfigurationsjobs für jeweils sechs ADC-Instanzen ausgeführt. In der NetScaler ADM UI unter Infrastruktur > Jobssehen Sie nur die letzten beiden Konfigurationsjobs.
Szenario
In diesem Szenario sind drei ADC-Instanzen anfällig für CVE-2020-8300, und Sie müssen alle Instanzen standardisieren. Führen Sie die folgenden Schritte aus:
-
Führen Sie ein Upgrade aller drei ADC-Instanzen durch, indem Sie die im Abschnitt Upgrade einer Instanz in diesem Dokument beschriebenen Schritte ausführen.
-
Wenden Sie den Konfigurationspatch mithilfe des Konfigurationsjob-Workflows auf jeweils einen ADC an. Sehen Sie sich die Schritte an, die im Abschnitt Konfigurationsbefehle anwenden in diesem Dokument beschrieben werden.
Der anfällige ADC 1 hat die folgende Konfiguration:
| Zwei SAML-Aktionen | Zwei SAML-Profile |
|---|---|
| SAML-Aktion 1 hat eine Domäne und SAML-Aktion 2 hat zwei Domänen | SAML-Profil 1 hat eine URL und SAML-Profil 2 hat zwei URLs. |
Wählen Sie ADC 1 und klicken Sie auf Weiter zum Workflow des Konfigurationsauftrags Die integrierte Vorlage wird automatisch ausgefüllt. Geben Sie als Nächstes einen Auftragsnamen an und passen Sie die Vorlage entsprechend der angegebenen Konfiguration an.
In den folgenden Tabellen sind die Variablendefinitionen für benutzerdefinierte Parameter aufgeführt.
Tabelle 1. Variablendefinitionen für SAML-Aktionen
| ADC-Konfiguration | Variablendefinition für Patset | Variablendefinition für den SAML-Aktionsnamen | Variablendefinition für Domain |
|---|---|---|---|
| SAML action 1 hat eine Domain | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| SAML-Aktion 2 hat zwei Domänen | saml_action_patset2 | saml_action_name2 | saml_action_domain2, saml_action_domain3 |
Tabelle 2. Variablendefinitionen für SAML-Profile
| ADC-Konfiguration | Variablendefinition für Patset | Variablendefinition für SAML-Profilnamen | Variablendefinition für URL |
|---|---|---|---|
| SAML-Profil 1 hat eine URL | saml_profile_patset1 | saml_profile_name1 | saml_profile_url1 |
| SAML-Profil 2 hat zwei URLs | saml_profile_patset2 | saml_profile_name2 | saml_profile_url2, saml_profile_url3 |
Wählen Sie unter Instanzen auswählen ADC 1 aus und klicken Sie auf Weiter. Das Fenster Variablenwerte angeben wird angezeigt. In diesem Schritt müssen Sie Werte für alle im vorherigen Schritt definierten Variablen angeben.
Überprüfen Sie als Nächstes die Variablen.
Klicken Sie auf Weiter und dann auf Fertig stellen, um den Job auszuführen.
Nachdem der Job ausgeführt wurde, wird er unter Infrastruktur > Konfiguration > Konfigurationsjobsangezeigt.
Führen Sie nach Abschluss der beiden Standardisierungsschritte für ADC1 dieselben Schritte aus, um ADC 2 und ADC 3 zu standardisieren. Nach Abschluss der Standardisierung können Sie einen Anforderungsscan ausführen, um die überarbeitete Sicherheitslage zu überprüfen.