NetScaler Console-Dienst

Sicherheitsrisiko CVE-2021-22956 identifizieren und korrigieren

Im NetScaler Console Security Advisory Dashboard können Sie unter **Aktuelle CVEs > NetScaler<number of>**-Instanzen sind von Common Vulnerabilities and Exposures (CVEs) betroffen alle Instanzen sehen, die aufgrund dieser spezifischen CVE anfällig sind. Um die Details der von CVE-2021-22956 betroffenen Instanzen zu überprüfen, wählen Sie CVE-2021-22956 und klicken Sie auf Betroffene Instanzen anzeigen.

Sicherheitsberatungs-Dashboard für CVE-2021-22927 und CVE-2021-22920

Das <number of>Fenster NetScaler-Instanzen, die von CVEs betroffen sind, wird angezeigt. Hier sehen Sie die Anzahl und Details der NetScaler-Instanzen, die von CVE-2021-22956 betroffen sind.

Instanzen, die von CVE-2020-8300 betroffen sind

Weitere Informationen zum Security Advisory Dashboard finden Sie unter Security Advisory.

Hinweis

Es kann einige Zeit dauern, bis der Scan des Sicherheitsberatungssystems abgeschlossen ist und die Auswirkungen von CVE-2021-22956 im Sicherheitsberatungsmodul widerspiegelt. Um die Auswirkungen früher zu erkennen, starten Sie einen Anforderungsscan, indem Sie auf Jetzt scannenklicken.

Identifizieren von CVE-2021-22956 betroffenen Instanzen

CVE-2021-22956 erfordert einen benutzerdefinierten Scan, bei dem die NetScaler Console eine Verbindung mit der verwalteten NetScaler-Instanz herstellt und ein Skript an die Instanz überträgt. Das Skript wird auf der NetScaler-Instanz ausgeführt und überprüft die Parameter der Apache-Konfigurationsdatei ( httpd.conf file) und die maximalen Client-Verbindungen ( maxclient), um festzustellen, ob eine Instanz anfällig ist oder nicht. Die Informationen, die das Skript mit NetScaler Console teilt, sind der Schwachstellenstatus in Boolean (wahr oder falsch). Das Skript gibt der NetScaler Console auch eine Liste mit Zählungen für max_clients für verschiedene Netzwerkschnittstellen zurück, z. B. für lokalen Host, NSIP und SNIP mit Verwaltungszugriff. Sie können einen detaillierten Bericht zu dieser Liste in der CSV-Datei sehen, die Sie auf der Registerkarte Scan-Protokolle auf der Seite Sicherheitsempfehlung herunterladen können.

Dieses Skript wird jedes Mal ausgeführt, wenn Ihre geplanten Scans auf Anforderung ausgeführt werden. Nach Abschluss des Scans wird das Skript aus der NetScaler-Instanz gelöscht.

Korrigieren CVE-2021-22956

Für NetScaler-Instanzen, die von CVE-2021-22956 betroffen sind, besteht die Behebung aus zwei Schritten. In der GUI können Sie unter Aktuelle CVEs > NetScaler-Instanzen sind von CVEs betroffen die Schritte 1 und 2 sehen.

Korrekturschritte für CVE-2021-22927 und CVE-2021-22920

Die zwei Schritte beinhalten:

  1. Aktualisierung der anfälligen NetScaler-Instanzen auf eine Version und einen Build, die den Fix enthalten.

  2. Anwenden der erforderlichen Konfigurationsbefehle mithilfe der anpassbaren integrierten Konfigurationsvorlage in Konfigurationsaufträgen.

Unter Aktuelle CVEs > NetScaler-Instanzen, die von CVEs betroffen sind, sehen Sie zwei separate Workflows für diesen zweistufigen Korrekturprozess: Weiter zum Upgrade-Workflow und Weiter zum Konfigurationsjob-Workflow.

Workflows zur Behebung

Schritt 1: Aktualisieren Sie die anfälligen NetScaler-Instanzen

Um ein Upgrade der anfälligen Instanzen durchzuführen, wählen Sie die Instanzen aus und klicken Sie auf Fortfahren mit Der Upgrade-Workflow wird mit den anfälligen NetScaler-Instanzen geöffnet, die bereits gefüllt sind.

Weitere Informationen zur Verwendung der NetScaler Console zum Upgrade von NetScaler-Instanzen finden Sie unter Erstellen eines NetScaler-Upgrade-Jobs.

Hinweis

Dieser Schritt kann für alle anfälligen NetScaler-Instanzen gleichzeitig ausgeführt werden.

Schritt 2: Anwenden von Konfigurationsbefehlen

Nachdem Sie die betroffenen Instanzen aktualisiert haben, wählen Sie im Fenster <number of> NetScaler-Instanzen, die von CVEs betroffen sind, die Instance aus, die von CVE-2021-22956 betroffen ist, und klicken Sie auf Weiter zum Konfigurationsjob-Workflow. Der Workflow umfasst die folgenden Schritte.

  1. Anpassen der Konfiguration.
  2. Überprüfung der automatisch ausgefüllten betroffenen Instanzen.
  3. Angabe von Eingaben für Variablen für den Job.
  4. Überprüfung der endgültigen Konfiguration mit aufgefüllten Variableneingaben.
  5. Den Job ausführen.

Beachten Sie die folgenden Punkte, bevor Sie eine Instanz auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken:

  • Für eine NetScaler-Instanz, die von mehreren CVEs betroffen ist (wie CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 und CVE-2021-22956): Wenn Sie die Instanz auswählen und auf Weiter zum Konfigurationsauftrags-Workflow klicken, wird die integrierte Konfigurationsvorlage unter Konfiguration auswählen nicht automatisch ausgefüllt. Ziehen Sie die entsprechende Konfigurationsjob-Vorlage manuell unter Security Advisory Template in den Konfigurationsjob-Fensterbereich auf der rechten Seite.

  • Nur für mehrere NetScaler-Instanzen, die von CVE-2021-22956 betroffen sind: Sie können Konfigurationsaufträge auf allen Instanzen gleichzeitig ausführen. Sie haben beispielsweise NetScaler 1, NetScaler 2 und NetScaler 3, und alle sind nur von CVE-2021-22956 betroffen. Wählen Sie alle diese Instanzen aus und klicken Sie auf Weiter zum Workflow des Konfigurationsauftrags. Die integrierte Konfigurationsvorlage wird automatisch unter Konfiguration auswählenausgefüllt. Beziehen Sie sich auf das bekannte Problem NSADM-80913 in den Versionshinweisen.

  • Für mehrere NetScaler-Instanzen, die von CVE-2021-22956 und einer oder mehreren anderen CVEs betroffen sind (wie CVE-2020-8300, CVE-2021-22927 und CVE-2021-22920), die eine Korrektur erfordern, um auf jedem NetScaler gleichzeitig angewendet zu werden: Wenn Sie diese Instanzen auswählen und auf Weiter zum Konfigurationsauftrags-Workflow klicken, wird eine Fehlermeldung angezeigt, die Sie auffordert, den Konfigurationsjob auf jedem NetScaler gleichzeitig auszuführen.

Schritt 1: Konfiguration wählen

Im Workflow des Konfigurationsauftrags wird die integrierte Konfigurationsbasisvorlage automatisch unter Konfiguration auswählen ausgefüllt.

Konfiguration wählen

Schritt 2: Wählen Sie die Instanz aus

Die betroffene Instanz wird automatisch unter Ausgewählte Instanzenaufgefüllt. Wählen Sie die Instanz aus. Wenn diese Instanz Teil eines HA-Paars ist, wählen Sie Auf sekundären Knoten ausführenaus. Klicken Sie auf Weiter.

Instanz wählen

Hinweis

Für NetScaler-Instanzen im Clustermodus unterstützt die NetScaler Console unter Verwendung der Sicherheitsempfehlung die Ausführung des Konfigurationsauftrags nur auf dem Cluster Configuration Coordinator (CCO) -Knoten. Führen Sie die Befehle auf Nicht-CCO-Knoten separat aus.

rc.netscaler wird über alle HA- und Clusterknoten hinweg synchronisiert, sodass die Standardisierung nach jedem Neustart dauerhaft ist.

Schritt 3: Variablenwerte angeben

Geben Sie die Werte der Variablen ein.

Variablen spezifizieren

Wählen Sie eine der folgenden Optionen aus, um Variablen für Ihre Instanzen anzugeben:

Gemeinsame Variablenwerte für alle Instanzen: Geben Sie einen gemeinsamen Wert für die Variable ein max_client.

Eingabedatei für Variablenwerte hochladen: Klicken Sie auf Eingabeschlüsseldatei herunterladen, um eine Eingabedatei herunterzuladen. Geben Sie in der Eingabedatei Werte für die Variable max_clientein und laden Sie die Datei dann auf den NetScaler Console-Server hoch. Lesen Sie das bekannte Problem NSADM-80913 in den Versionshinweisen zu einem Problem mit dieser Option.

Hinweis

Für beide oben genannten Optionen ist der empfohlene Wert für max_client 30. Sie können den Wert entsprechend Ihrem aktuellen Wert festlegen. Sollte jedoch nicht Null sein, und sollte kleiner oder gleich max_client in der Datei /etc/httpd.conf sein. MaxClientsSie können den aktuellen Wert überprüfen, der in der Apache HTTP Server-Konfigurationsdatei /etc/httpd.conffestgelegt ist , indem Sie die Zeichenfolge in der NetScaler-Instanz durchsuchen.

Schritt 4: Vorschau der Konfiguration

Zeigt eine Vorschau der in die Konfiguration eingefügten Variablenwerte an und klicken Sie auf Weiter.

Vorschau des Jobs anzeigen

Schritt 5: Führen Sie den Job aus

Klicken Sie auf Fertigstellen, um den Konfigurationsauftrag auszuführen.

Konfigurationsjob ausführen

Nachdem der Job ausgeführt wurde, wird er unter Infrastruktur > Konfiguration > Konfigurationsjobsangezeigt.

Nachdem Sie die beiden Schritte zur Behebung aller anfälligen NetScaler-Instanzen abgeschlossen haben, können Sie einen On-Demand-Scan ausführen, um die überarbeitete Sicherheitslage zu überprüfen.

Sicherheitsrisiko CVE-2021-22956 identifizieren und korrigieren