NetScaler Console-Dienst

Schwachstellen für CVE-2021-22956 identifizieren und beheben

Im NetScaler Console Sicherheitswarnungs-Dashboard, unter Aktuelle CVEs > <Anzahl> NetScaler-Instanzen, die von Common Vulnerabilities and Exposures (CVEs) betroffen sind, sehen Sie alle Instanzen, die aufgrund dieser spezifischen CVE anfällig sind. Um die Details der von CVE-2021-22956 betroffenen Instanzen zu überprüfen, wählen Sie CVE-2021-22956 aus und klicken Sie auf Betroffene Instanzen anzeigen.

Sicherheitswarnungs-Dashboard für CVE-2021-22927 und CVE-2021-22920

Das Fenster <Anzahl> NetScaler-Instanzen, die von CVEs betroffen sind wird angezeigt. Hier sehen Sie die Anzahl und Details der von CVE-2021-22956 betroffenen NetScaler-Instanzen.

Instanzen, die von CVE-2020-8300 betroffen sind

Weitere Informationen zum Sicherheitswarnungs-Dashboard finden Sie unter Sicherheitswarnung.

Hinweis:

Es kann einige Zeit dauern, bis der Systemscan der Sicherheitswarnung abgeschlossen ist und die Auswirkungen von CVE-2021-22956 im Sicherheitswarnungsmodul widerspiegelt werden. Um die Auswirkungen früher zu sehen, starten Sie einen On-Demand-Scan, indem Sie auf Jetzt scannen klicken.

Betroffene Instanzen von CVE-2021-22956 identifizieren

CVE-2021-22956 erfordert einen benutzerdefinierten Scan, bei dem die NetScaler Console eine Verbindung zur verwalteten NetScaler-Instanz herstellt und ein Skript an die Instanz übermittelt. Das Skript wird auf der NetScaler-Instanz ausgeführt und überprüft die Apache-Konfigurationsdatei (httpd.conf-Datei) und die Parameter für maximale Client-Verbindungen (maxclient), um festzustellen, ob eine Instanz anfällig ist oder nicht. Die Informationen, die das Skript mit der NetScaler Console teilt, sind der Schwachstellenstatus in Boolesch (wahr oder falsch). Das Skript gibt der NetScaler Console auch eine Liste der Zählungen für max_clients für verschiedene Netzwerkschnittstellen zurück, z. B. lokalen Host, NSIP und SNIP mit Verwaltungszugriff. Einen detaillierten Bericht dieser Liste finden Sie in der CSV-Datei, die Sie über die Registerkarte Scan-Protokolle auf der Seite Sicherheitswarnung herunterladen können.

Dieses Skript wird jedes Mal ausgeführt, wenn Ihre geplanten oder On-Demand-Scans laufen. Nach Abschluss des Scans wird das Skript von der NetScaler-Instanz gelöscht.

CVE-2021-22956 beheben

Für von CVE-2021-22956 betroffene NetScaler-Instanzen ist die Behebung ein zweistufiger Prozess. In der GUI, unter Aktuelle CVEs > NetScaler-Instanzen sind von CVEs betroffen, sehen Sie Schritt 1 und 2.

Behebungsschritte für CVE-2021-22927 und CVE-2021-22920

Die beiden Schritte umfassen:

  1. Aktualisieren der anfälligen NetScaler-Instanzen auf eine Version und einen Build, der den Fix enthält.

  2. Anwenden der erforderlichen Konfigurationsbefehle mithilfe der anpassbaren integrierten Konfigurationsvorlage in Konfigurationsaufträgen.

Unter Aktuelle CVEs > NetScaler-Instanzen, die von CVEs betroffen sind, sehen Sie zwei separate Workflows für diesen zweistufigen Behebungsprozess: Mit Upgrade-Workflow fortfahren und Mit Konfigurationsauftrags-Workflow fortfahren.

Behebungsworkflows

Schritt 1: Anfällige NetScaler-Instanzen aktualisieren

Um die anfälligen Instanzen zu aktualisieren, wählen Sie die Instanzen aus und klicken Sie auf Mit Upgrade-Workflow fortfahren. Der Upgrade-Workflow wird mit den bereits ausgefüllten anfälligen NetScaler-Instanzen geöffnet.

Weitere Informationen zur Verwendung der NetScaler Console zum Aktualisieren von NetScaler-Instanzen finden Sie unter NetScaler-Upgrade-Auftrag erstellen.

Hinweis:

Dieser Schritt kann für alle anfälligen NetScaler-Instanzen gleichzeitig durchgeführt werden.

Schritt 2: Konfigurationsbefehle anwenden

Nachdem Sie die betroffenen Instanzen aktualisiert haben, wählen Sie im Fenster <Anzahl> NetScaler-Instanzen, die von CVEs betroffen sind die von CVE-2021-22956 betroffene Instanz aus und klicken Sie auf Mit Konfigurationsauftrags-Workflow fortfahren. Der Workflow umfasst die folgenden Schritte.

  1. Anpassen der Konfiguration.
  2. Überprüfen der automatisch ausgefüllten betroffenen Instanzen.
  3. Angeben von Eingaben für Variablen für den Auftrag.
  4. Überprüfen der endgültigen Konfiguration mit ausgefüllten Variableneingaben.
  5. Ausführen des Auftrags.

Beachten Sie die folgenden Punkte, bevor Sie eine Instanz auswählen und auf Mit Konfigurationsauftrags-Workflow fortfahren klicken:

  • Für eine NetScaler-Instanz, die von mehreren CVEs betroffen ist (z. B. CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 und CVE-2021-22956): Wenn Sie die Instanz auswählen und auf Mit Konfigurationsauftrags-Workflow fortfahren klicken, wird die integrierte Konfigurationsvorlage nicht automatisch unter Konfiguration auswählen ausgefüllt. Ziehen Sie die entsprechende Konfigurationsauftragsvorlage unter Sicherheitswarnungs-Vorlage manuell in den Konfigurationsauftragsbereich auf der rechten Seite.

  • Für mehrere NetScaler-Instanzen, die nur von CVE-2021-22956 betroffen sind: Sie können Konfigurationsaufträge für alle Instanzen gleichzeitig ausführen. Wenn Sie beispielsweise NetScaler 1, NetScaler 2 und NetScaler 3 haben und alle nur von CVE-2021-22956 betroffen sind, wählen Sie alle diese Instanzen aus und klicken Sie auf Mit Konfigurationsauftrags-Workflow fortfahren, und die integrierte Konfigurationsvorlage wird automatisch unter Konfiguration auswählen ausgefüllt.

  • Für mehrere NetScaler-Instanzen, die von CVE-2021-22956 und einer oder mehreren anderen CVEs betroffen sind (z. B. CVE-2020-8300, CVE-2021-22927 und CVE-2021-22920), die eine Behebung erfordern, die jeweils auf jeden NetScaler angewendet werden muss: Wenn Sie diese Instanzen auswählen und auf Mit Konfigurationsauftrags-Workflow fortfahren klicken, wird eine Fehlermeldung angezeigt, die Sie darauf hinweist, den Konfigurationsauftrag jeweils auf jedem NetScaler auszuführen.

Schritt 1: Konfiguration auswählen

Im Konfigurationsauftrags-Workflow wird die integrierte Konfigurationsbasistabelle automatisch unter Konfiguration auswählen ausgefüllt.

Konfiguration auswählen

Schritt 2: Instanz auswählen

Die betroffene Instanz wird automatisch unter Instanzen auswählen ausgefüllt. Wählen Sie die Instanz aus. Wenn diese Instanz Teil eines HA-Paares ist, wählen Sie Auf sekundären Knoten ausführen. Klicken Sie auf Weiter.

Instanz auswählen

Hinweis:

Für NetScaler-Instanzen im Cluster-Modus, die Sicherheitswarnungen verwenden, unterstützt die NetScaler Console das Ausführen des Konfigurationsauftrags nur auf dem Cluster Configuration Coordinator (CCO)-Knoten. Führen Sie die Befehle auf Nicht-CCO-Knoten separat aus.

Schritt 3: Variablenwerte angeben

Geben Sie die Variablenwerte ein.

Variablen angeben

Wählen Sie eine der folgenden Optionen, um Variablen für Ihre Instanzen anzugeben:

Gemeinsame Variablenwerte für alle Instanzen: Geben Sie einen gemeinsamen Wert für die Variable max_client ein.

Eingabedatei für Variablenwerte hochladen: Klicken Sie auf Eingabeschlüsseldatei herunterladen, um eine Eingabedatei herunterzuladen. Geben Sie in der Eingabedatei Werte für die Variable max_client ein und laden Sie die Datei dann auf den NetScaler Console-Server hoch.

Hinweis:

Für beide oben genannten Optionen beträgt der empfohlene max_client-Wert 30. Sie können den Wert entsprechend Ihrem aktuellen Wert festlegen. Er sollte jedoch nicht Null sein und kleiner oder gleich dem in der Datei /etc/httpd.conf festgelegten max_client-Wert sein. Sie können den aktuellen Wert, der in der Apache HTTP Server-Konfigurationsdatei /etc/httpd.conf festgelegt ist, überprüfen, indem Sie in der NetScaler-Instanz nach der Zeichenfolge MaxClients suchen.

Schritt 4: Konfiguration in der Vorschau anzeigen

Zeigt die in die Konfiguration eingefügten Variablenwerte in der Vorschau an und klicken Sie auf Weiter.

Auftrag in der Vorschau anzeigen

Schritt 5: Auftrag ausführen

Klicken Sie auf Fertig stellen, um den Konfigurationsauftrag auszuführen.

Konfigurationsauftrag ausführen

Nachdem der Auftrag ausgeführt wurde, wird er unter Infrastruktur > Konfiguration > Konfigurationsaufträge angezeigt.

Nach Abschluss der beiden Behebungsschritte für alle anfälligen NetScaler-Instanzen können Sie einen On-Demand-Scan ausführen, um die überarbeitete Sicherheitslage zu sehen.

Schwachstellen für CVE-2021-22956 identifizieren und beheben