Sicherheitsrisiko CVE-2021-22927 und CVE-2021-22920 korrigieren
Im NetScaler Console Security Advisory Dashboard können Sie unter Aktuelle CVEs > <number of>NetScaler-Instanzen sind von CVEs betroffen alle Instanzen sehen, die aufgrund von CVE-2021-22927 und CVE-2021-22920 anfällig sind. Um die Details der Instanzen zu überprüfen, die von diesen beiden CVEs betroffen sind, wählen Sie mindestens eine CVEs aus und klicken Sie auf Betroffene Instanzen anzeigen.
Hinweis
Es kann einige Stunden dauern, bis der Scan des Sicherheitsberatungssystems abgeschlossen ist und die Auswirkungen von CVE-2021-22927 und CVE-2021-22920 im Sicherheitsberatungsmodul widerspiegelt. Um die Auswirkungen früher zu erkennen, starten Sie einen Anforderungsscan, indem Sie auf Jetzt scannenklicken. Weitere Informationen zum Security Advisory Dashboard finden Sie unter Security Advisory .
Das Fenster <number of>NetScaler-Instanzen, die von CVEs betroffen sind, wird angezeigt. In der folgenden Bildschirmaufnahme sehen Sie die Anzahl und Details der NetScaler-Instanzen, die von CVE-2021-22927 und CVE-2021-22920 betroffen sind.
Reparieren Sie CVE-2021-22927 und CVE-2021-22920
Für die von CVE-2021-22927 und CVE-2021-22920 betroffenen NetScaler-Instanzen erfolgt die Behebung in zwei Schritten. In der GUI können Sie unter Aktuelle CVEs > NetScaler-Instanzen sind von CVEs betroffen die Schritte 1 und 2 sehen.
Die zwei Schritte beinhalten:
- Aktualisierung der anfälligen NetScaler-Instanzen auf eine Version und einen Build, die den Fix enthalten.
- Anwenden der erforderlichen Konfigurationsbefehle mithilfe der anpassbaren integrierten Konfigurationsvorlage in Konfigurationsaufträgen. Folgen Sie diesen Schritt für jeden anfälligen NetScaler nacheinander und schließen Sie alle SAML-Aktionen für diesen NetScaler ein.
Hinweis
Überspringen Sie Schritt 2, wenn Sie bereits Konfigurationsaufträge auf der NetScaler-Instanz für CVE-2020-8300 ausgeführt haben.
Unter Aktuelle CVEs > NetScaler-Instanzen, die von CVEs betroffen sind, sehen Sie zwei separate Workflows für diesen zweistufigen Korrekturprozess: Weiter zum Upgrade-Workflow und Weiter zum Konfigurationsjob-Workflow.
Schritt 1: Aktualisieren Sie die anfälligen NetScaler-Instanzen
Um ein Upgrade der anfälligen Instanzen durchzuführen, wählen Sie die Instanzen aus und klicken Sie auf Fortfahren mit Der Upgrade-Workflow wird mit den anfälligen NetScaler-Instanzen geöffnet, die bereits gefüllt sind.
Weitere Informationen zur Verwendung der NetScaler Console zum Upgrade von NetScaler-Instanzen finden Sie unter Erstellen eines NetScaler-Upgrade-Jobs.
Hinweis
Dieser Schritt kann für alle anfälligen NetScaler-Instanzen gleichzeitig ausgeführt werden. Hinweis
Nachdem Sie Schritt 1 für alle NetScaler-Instanzen abgeschlossen haben, die für CVE-2021-22920 und CVE-2021-22927 anfällig sind, führen Sie einen On-Demand-Scan durch. Die aktualisierte Sicherheitslage unter Aktuelle CVEs hilft Ihnen zu verstehen, ob die NetScaler-Instanzen immer noch für eine dieser CVEs anfällig sind. In der neuen Haltung können Sie auch überprüfen, ob Sie Konfigurationsjobs ausführen müssen. Wenn Sie bereits die entsprechenden Konfigurationsaufträge auf die NetScaler-Instanz für CVE-2020-8300 angewendet haben und jetzt die NetScaler-Instanz aktualisiert haben, wird die Instanz nach dem On-Demand-Scan nicht mehr als anfällig für CVE-2020-8300, CVE-2021-22920 und CVE-2021-22927 angezeigt.
Schritt 2: Anwenden von Konfigurationsbefehlen
Nachdem Sie die betroffenen Instanzen aktualisiert haben, wählen Sie im Fenster <number of> NetScaler-Instanzen, die von CVEs betroffen sind, eine Instance aus, die von CVE-2021-22927 und CVE-2021-22920 betroffen ist, und klicken Sie auf Weiter zum Konfigurationsjob-Workflow. Der Workflow umfasst die folgenden Schritte.
- Anpassen der Konfiguration.
- Überprüfung der automatisch ausgefüllten betroffenen Instanzen.
- Angabe von Eingaben für Variablen für den Job.
- Überprüfung der endgültigen Konfiguration mit aufgefüllten Variableneingaben.
- Den Job ausführen.
Beachten Sie die folgenden Punkte, bevor Sie eine Instanz auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken:
-
Für eine NetScaler-Instanz, die von mehreren CVEs betroffen ist (wie CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 und CVE-2021-22956): Wenn Sie die Instanz auswählen und auf Weiter zum Konfigurationsauftrags-Workflow klicken, wird die integrierte Konfigurationsvorlage unter Konfiguration auswählen nicht automatisch ausgefüllt. Ziehen Sie die entsprechende Konfigurationsjob-Vorlage manuell unter Security Advisory Template in den Konfigurationsjob-Fensterbereich auf der rechten Seite.
-
Nur für mehrere NetScaler-Instanzen, die von CVE-2021-22956 betroffen sind: Sie können Konfigurationsaufträge auf allen Instanzen gleichzeitig ausführen. Sie haben beispielsweise NetScaler 1, NetScaler 2 und NetScaler 3, und alle sind nur von CVE-2021-22956 betroffen. Wählen Sie alle diese Instanzen aus und klicken Sie auf Weiter zum Workflow des Konfigurationsauftrags. Die integrierte Konfigurationsvorlage wird automatisch unter Konfiguration auswählenausgefüllt. Beziehen Sie sich auf das bekannte Problem NSADM-80913 in den Versionshinweisen.
-
Für mehrere NetScaler-Instanzen, die von CVE-2021-22956 und einer oder mehreren anderen CVEs betroffen sind (wie CVE-2020-8300, CVE-2021-22927 und CVE-2021-22920), die eine Korrektur erfordern, um auf jedem NetScaler gleichzeitig angewendet zu werden: Wenn Sie diese Instanzen auswählen und auf Weiter zum Konfigurationsauftrags-Workflow klicken, wird eine Fehlermeldung angezeigt, die Sie auffordert, den Konfigurationsjob auf jedem NetScaler gleichzeitig auszuführen.
Schritt 1: Konfiguration wählen
Im Workflow des Konfigurationsauftrags wird die integrierte Konfigurationsbasisvorlage automatisch unter Konfiguration auswählen ausgefüllt.
Hinweis
Wenn die in Schritt 2 zum Anwenden von Konfigurationsbefehlen ausgewählte NetScaler-Instanz anfällig für CVE-2021-22927, CVE-2021-22920 und auch CVE-2020-8300 ist, wird die Basisvorlage für CVE-2020-8300 automatisch gefüllt. Die Vorlage CVE-2020-8300 ist ein Supersatz der Konfigurationsbefehle, die für alle drei CVEs erforderlich sind. Passen Sie diese Basisvorlage an die Bereitstellung und die Anforderungen Ihrer NetScaler-Instanz an.
Sie müssen für jede betroffene NetScaler-Instanz nacheinander einen separaten Konfigurationsjob ausführen und alle SAML-Aktionen für diesen NetScaler einbeziehen. Wenn Sie beispielsweise zwei anfällige NetScaler-Instanzen mit jeweils zwei SAML-Aktionen haben, müssen Sie diesen Konfigurationsjob zweimal ausführen. Einmal pro NetScaler, der alle SAML-Aktionen abdeckt.
| NetScaler 1 | NetScaler 2 |
|---|---|
| Job 1: zwei SAML-Aktionen | Job 2: zwei SAML-Aktionen |
Geben Sie dem Job einen Namen und passen Sie die Vorlage an die folgenden Spezifikationen an. Die integrierte Konfigurationsvorlage ist nur eine Gliederung oder Basisvorlage. Passen Sie die Vorlage basierend auf Ihrer Bereitstellung an die folgenden Anforderungen an:
a. SAML-Aktionen und die zugehörigen Domänen
Abhängig von der Anzahl der SAML-Aktionen, die Sie in Ihrer Bereitstellung haben, müssen Sie die Zeilen 1—3 replizieren und die Domänen für jede SAML-Aktion anpassen.
Wenn Sie beispielsweise zwei SAML-Aktionen haben, wiederholen Sie die Zeilen 1—3 zweimal und passen Sie die Variablendefinitionen für jede SAML-Aktion entsprechend an.
Und wenn Sie N Domänen für eine SAML-Aktion haben, müssen Sie die Zeile bind patset $saml_action_patset$ “$saml_action_domain1$” mehrmals manuell eingeben, um sicherzustellen, dass die Zeile N Mal für diese SAML-Aktion angezeigt wird. Und ändern Sie die folgenden Variablendefinitionsnamen:
-
saml_action_patset: ist die Konfigurations-Template-Variable und stellt den Wert des Namens des Mustersatzes (patset) für die SAML-Aktion dar. Sie können den tatsächlichen Wert in Schritt 3 des Konfigurationsjob-Workflows angeben. Weitere Informationen finden Sie im Abschnitt Schritt 3: Variablenwerte angeben in diesem Dokument. -
saml_action_domain1: ist die Konfigurationsvorlagenvariable und stellt den Domänennamen für diese spezifische SAML-Aktion dar. Sie können den tatsächlichen Wert in Schritt 3 des Konfigurationsjob-Workflows angeben. Weitere Informationen finden Sie im Abschnitt Schritt 3: Variablenwerte angeben in diesem Dokument.
Führen Sie den Befehl aus, um alle SAML-Aktionen für ein Gerät zu finden show samlaction.
Schritt 2: Wählen Sie die Instanz aus
Die betroffene Instanz wird automatisch unter Ausgewählte Instanzenaufgefüllt. Wählen Sie die Instanz und klicken Sie auf Weiter.
Schritt 3: Variablenwerte angeben
Geben Sie die Werte der Variablen ein.
-
saml_action_patset: Namen für die SAML-Aktion hinzufügen -
saml_action_domain1: Domäne im Formathttps://<example1.com>/eingeben -
saml_action_name: Dieselbe SAML-Aktion eingeben, für die Sie den Job konfigurieren
Schritt 4: Vorschau der Konfiguration
Zeigt eine Vorschau der in die Konfiguration eingefügten Variablenwerte an und klicken Sie auf Weiter.
Schritt 5: Führen Sie den Job aus
Klicken Sie auf Fertigstellen, um den Konfigurationsauftrag auszuführen.
Nachdem der Job ausgeführt wurde, wird er unter Infrastruktur > Konfiguration > Konfigurationsjobsangezeigt.
Nachdem Sie die beiden Schritte zur Behebung aller anfälligen NetScaler-Instanzen abgeschlossen haben, können Sie einen On-Demand-Scan ausführen, um die überarbeitete Sicherheitslage zu überprüfen.
Szenario
In diesem Szenario sind zwei NetScaler-Instanzen anfällig für CVE-2021-22920, und Sie müssen alle Instanzen reparieren. Führen Sie die folgenden Schritte aus:
-
Führen Sie ein Upgrade aller drei NetScaler-Instanzen durch, indem Sie die Schritte im Abschnitt „Eine Instanz aktualisieren“ in diesem Dokument befolgen.
-
Wenden Sie den Konfigurationspatch mithilfe des Konfigurationsauftragsworkflows jeweils auf einen NetScaler an. Lesen Sie die Schritte, die im Abschnitt “Konfigurationsbefehle anwenden” in diesem Dokument beschrieben werden.
Das anfällige NetScaler 1 hat zwei SAML-Aktionen:
- SAML action 1 hat eine Domain
- SAML-Aktion 2 hat zwei Domänen
Wählen Sie NetScaler 1 aus und klicken Sie auf Weiter zum Workflow für den Konfigurationsauftrag .** Die integrierte Basisvorlage wird automatisch ausgefüllt. Geben Sie als Nächstes einen Auftragsnamen an und passen Sie die Vorlage entsprechend der angegebenen Konfiguration an.
In der folgenden Tabelle sind die Variablendefinitionen für benutzerdefinierte Parameter aufgeführt.
Tabelle. Variablendefinitionen für SAML-Aktionen
| NetScaler-Konfiguration | Variablendefinition für Patset | Variablendefinition für den SAML-Aktionsnamen | Variablendefinition für Domain |
|---|---|---|---|
| SAML action 1 hat eine Domain | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| SAML-Aktion 2 hat zwei Domänen | saml_action_patset2 | saml_action_name2 | saml_action_domain2, saml_action_domain3 |
Wählen Sie unter Instanzen auswählen die Option NetScaler 1 aus und klicken Sie auf Weiter. Das Fenster Variablenwerte angeben wird angezeigt. In diesem Schritt müssen Sie Werte für alle im vorherigen Schritt definierten Variablen angeben.
Überprüfen Sie als Nächstes die Variablen.
Klicken Sie auf Weiter und dann auf Fertig stellen, um den Job auszuführen.
Nachdem der Job ausgeführt wurde, wird er unter Infrastruktur > Konfiguration > Konfigurationsjobsangezeigt.
Nachdem Sie die beiden Standardisierungsschritte für NetScaler 1 abgeschlossen haben, führen Sie dieselben Schritte aus, um NetScaler 2 und NetScaler 3 zu standardisieren. Nach Abschluss der Standardisierung können Sie einen Anforderungsscan ausführen, um die überarbeitete Sicherheitslage zu überprüfen.