NetScaler Console-Dienst

Sicherheitsrisiko CVE-2020-8300 korrigieren

Im NetScaler Console Security Advisory Dashboard können Sie unter Aktuelle CVEs > <number of>NetScaler-Instanzen sind von CVEs betroffen alle Instanzen sehen, die aufgrund dieser spezifischen CVE anfällig sind. Um die Details der von CVE-2020-8300 betroffenen Instanzen zu überprüfen, wählen Sie CVE-2020-8300 aus und klicken Sie auf Betroffene Instanzen anzeigen.

Sicherheitsberatungs-Dashboard für CVE-2020-8300

Hinweis

Weitere Informationen zum Security Advisory Dashboard finden Sie unter Security Advisory.

Das Fenster <number of>NetScaler-Instanzen, die von CVEs betroffen sind, wird angezeigt. Hier sehen Sie die Anzahl und Details der NetScaler-Instanzen, die von CVE-2020-8300 betroffen sind.

Instanzen, die von CVE-2020-8300 betroffen sind

CVE-2020-8300 korrigieren

Für NetScaler-Instanzen, die von CVE-2020-8300 betroffen sind, besteht die Behebung aus zwei Schritten. In der GUI können Sie unter Aktuelle CVEs > NetScaler-Instanzen sind von CVEs betroffen die Schritte 1 und 2 sehen.

Schritte zur Behebung

Die zwei Schritte beinhalten:

  1. Aktualisierung der anfälligen NetScaler-Instanzen auf eine Version und einen Build, die den Fix enthalten.
  2. Anwenden der erforderlichen Konfigurationsbefehle mithilfe der anpassbaren integrierten Konfigurationsvorlage in Konfigurationsaufträgen. Folgen Sie diesen Schritt für jeden anfälligen NetScaler nacheinander und schließen Sie alle SAML-Aktionen und SAML-Profile für diesen NetScaler ein.

Unter Aktuelle CVEs > NetScaler-Instanzen, die von CVEs betroffen sind, sehen Sie zwei separate Workflows für diesen zweistufigen Korrekturprozess: Weiter zum Upgrade-Workflow und Weiter zum Konfigurationsjob-Workflow.

Workflows zur Behebung

Schritt 1: Aktualisieren Sie die anfälligen NetScaler-Instanzen

Um ein Upgrade der anfälligen Instanzen durchzuführen, wählen Sie die Instanzen aus und klicken Sie auf Fortfahren mit Der Upgrade-Workflow wird mit den anfälligen NetScaler-Instanzen geöffnet, die bereits gefüllt sind.

Schritt 1 der Behebung

Weitere Informationen zur Verwendung der NetScaler Console zum Upgrade von NetScaler-Instanzen finden Sie unter Erstellen eines NetScaler-Upgrade-Jobs.

Hinweis

Dieser Schritt kann für alle anfälligen NetScaler-Instanzen gleichzeitig ausgeführt werden.

Schritt 2: Anwenden von Konfigurationsbefehlen

Nachdem Sie die betroffenen Instanzen aktualisiert haben, wählen Sie im Fenster <number of> NetScaler-Instanzen, die von CVEs betroffen sind, eine Instance aus, die von CVE-2020-8300 betroffen ist, und klicken Sie auf Weiter zum Konfigurationsjob-Workflow. Der Workflow umfasst die folgenden Schritte.

  1. Anpassen der Konfiguration.
  2. Überprüfung der automatisch ausgefüllten betroffenen Instanzen.
  3. Angabe von Eingaben für Variablen für den Job.
  4. Überprüfung der endgültigen Konfiguration mit aufgefüllten Variableneingaben.
  5. Den Job ausführen.

Beachten Sie die folgenden Punkte, bevor Sie eine Instanz auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken:

  • Für eine NetScaler-Instanz, die von mehreren CVEs betroffen ist (wie CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 und CVE-2021-22956): Wenn Sie die Instanz auswählen und auf Weiter zum Konfigurationsauftrags-Workflow klicken, wird die integrierte Konfigurationsvorlage unter Konfiguration auswählen nicht automatisch ausgefüllt. Ziehen Sie die entsprechende Konfigurationsjob-Vorlage manuell unter Security Advisory Template in den Konfigurationsjob-Fensterbereich auf der rechten Seite.

  • Nur für mehrere NetScaler-Instanzen, die von CVE-2021-22956 betroffen sind: Sie können Konfigurationsaufträge auf allen Instanzen gleichzeitig ausführen. Sie haben beispielsweise NetScaler 1, NetScaler 2 und NetScaler 3, und alle sind nur von CVE-2021-22956 betroffen. Wählen Sie alle diese Instanzen aus und klicken Sie auf Weiter zum Workflow des Konfigurationsauftrags. Die integrierte Konfigurationsvorlage wird automatisch unter Konfiguration auswählenausgefüllt. Beziehen Sie sich auf das bekannte Problem NSADM-80913 in den Versionshinweisen.

  • Für mehrere NetScaler-Instanzen, die von CVE-2021-22956 und einer oder mehreren anderen CVEs betroffen sind (wie CVE-2020-8300, CVE-2021-22927 und CVE-2021-22920), die eine Korrektur erfordern, um auf jedem NetScaler gleichzeitig angewendet zu werden: Wenn Sie diese Instanzen auswählen und auf Weiter zum Konfigurationsauftrags-Workflow klicken, wird eine Fehlermeldung angezeigt, die Sie auffordert, den Konfigurationsjob auf jedem NetScaler gleichzeitig auszuführen.

Schritt 1: Konfiguration wählen

Im Workflow des Konfigurationsauftrags wird die integrierte Konfigurationsvorlage automatisch unter Konfiguration auswählenausgefüllt.

Konfiguration wählen

Führen Sie für jede betroffene NetScaler-Instanz nacheinander einen separaten Konfigurationsjob aus und schließen Sie alle SAML-Aktionen und SAML-Profile für diesen NetScaler ein. Wenn Sie beispielsweise zwei anfällige NetScaler-Instanzen mit jeweils zwei SAML-Aktionen und zwei SAML-Profilen haben, müssen Sie diesen Konfigurationsjob zweimal ausführen. Einmal pro NetScaler, der alle SAML-Aktionen und SAML-Profile abdeckt.

NetScaler 1 NetScaler 2
Job 1: zwei SAML-Aktionen +zwei SAML-Profile Job 2: zwei SAML-Aktionen +zwei SAML-Profile

Geben Sie dem Job einen Namen und passen Sie die Vorlage an die folgenden Spezifikationen an. Die integrierte Konfigurationsvorlage ist nur eine Gliederung oder Basisvorlage. Passen Sie die Vorlage basierend auf Ihrer Bereitstellung an die folgenden Anforderungen an:

a. SAML-Aktionen und die zugehörigen Domänen

Abhängig von der Anzahl der SAML-Aktionen, die Sie in Ihrer Bereitstellung haben, müssen Sie die Zeilen 1—3 replizieren und die Domänen für jede SAML-Aktion anpassen.

SAML-Aktion anpassen

Wenn Sie beispielsweise zwei SAML-Aktionen haben, wiederholen Sie die Zeilen 1—3 zweimal und passen Sie die Variablendefinitionen für jede SAML-Aktion entsprechend an.

Und wenn Sie N Domänen für eine SAML-Aktion haben, müssen Sie die Zeile bind patset $saml_action_patset$ “$saml_action_domain1$” mehrmals manuell eingeben, um sicherzustellen, dass die Zeile N Mal für diese SAML-Aktion angezeigt wird. Und ändern Sie die folgenden Variablendefinitionsnamen:

  • saml_action_patset: ist die Konfigurations-Template-Variable und stellt den Wert des Namens des Mustersatzes (patset) für die SAML-Aktion dar. Sie können den tatsächlichen Wert in Schritt 3 des Konfigurationsjob-Workflows angeben. Weitere Informationen finden Sie im Abschnitt Schritt 3: Variablenwerte angeben in diesem Dokument.

  • saml_action_domain1: ist die Konfigurationsvorlagenvariable und stellt den Domänennamen für diese spezifische SAML-Aktion dar. Sie können den tatsächlichen Wert in Schritt 3 des Konfigurationsjob-Workflows angeben. Weitere Informationen finden Sie im Abschnitt Schritt 3: Variablenwerte angeben in diesem Dokument.

Führen Sie den Befehl aus, um alle SAML-Aktionen für ein Gerät zu finden show samlaction.

Finden Sie die SAML-Aktion

b. SAML-Profile und die zugehörigen URLs

Replizieren Sie die Zeilen 4—6, abhängig von der Anzahl der SAML-Profile, die Sie in Ihrer Bereitstellung haben. Passen Sie die URLs für jedes SAML-Profil an.

SAML-Profil anpassen

Wenn Sie beispielsweise zwei SAML-Profile haben, geben Sie die Zeilen 4—6 zweimal manuell ein und passen Sie die Variablendefinitionen für jede SAML-Aktion entsprechend an.

Und wenn Sie N Domänen für eine SAML-Aktion haben, müssen Sie die Zeile bind patset $saml_profile_patset$ “$saml_profile_url1$” mehrmals manuell eingeben, um sicherzustellen, dass die Zeile N Mal für dieses SAML-Profil angezeigt wird. Und ändern Sie die folgenden Variablendefinitionsnamen:

  • saml_profile_patset: ist die Konfigurations-Template-Variable und stellt den Wert des Namens des Mustersatzes (Patset) für das SAML-Profil dar. Sie können den tatsächlichen Wert in Schritt 3 des Konfigurationsjob-Workflows angeben. Weitere Informationen finden Sie im Abschnitt Schritt 3: Variablenwerte angeben in diesem Dokument.

  • saml_profile_url1: ist die Konfigurationsvorlagenvariable und stellt den Domänennamen für dieses spezifische SAML-Profil dar. Sie können den tatsächlichen Wert in Schritt 3 des Konfigurationsjob-Workflows angeben. Weitere Informationen finden Sie im Abschnitt Schritt 3: Variablenwerte angeben in diesem Dokument.

Führen Sie den Befehl show samlidpProfile aus, um alle SAM-Profile für ein Gerät zu finden.

SAML-Profil finden

Schritt 2: Wählen Sie die Instanz aus

Die betroffene Instanz wird automatisch unter Ausgewählte Instanzenaufgefüllt. Wählen Sie die Instanz und klicken Sie auf Weiter.

Instanz wählen

Schritt 3: Variablenwerte angeben

Geben Sie die Werte der Variablen ein.

  • saml_action_patset: Namen für die SAML-Aktion hinzufügen
  • saml_action_domain1: Domäne im Format https://<example1.com>/ eingeben
  • saml_action_name: Dieselbe SAML-Aktion eingeben, für die Sie den Job konfigurieren
  • saml_profile_patset: Namen für das SAML-Profil hinzufügen
  • saml_profile_url1: URL in diesem Format eingeben: https://<example2.com>/cgi/samlauth
  • saml_profile_name: Dasselbe SAML-Profil eingeben, für das Sie den Job konfigurieren

Hinweis

Für URLs ist die Erweiterung nicht immer cgi/samlauth. Es hängt davon ab, welche Autorisierung durch Dritte Sie haben, und dementsprechend müssen Sie die Erweiterung angeben.

Variablen spezifizieren

Schritt 4: Vorschau der Konfiguration

Zeigt eine Vorschau der in die Konfiguration eingefügten Variablenwerte an und klicken Sie auf Weiter.

Schritt 5: Führen Sie den Job aus

Klicken Sie auf Fertigstellen, um den Konfigurationsauftrag auszuführen.

Konfigurationsjob ausführen

Nachdem der Job ausgeführt wurde, wird er unter Infrastruktur > Konfiguration > Konfigurationsjobsangezeigt.

Nachdem Sie die beiden Schritte zur Behebung aller anfälligen NetScaler-Instanzen abgeschlossen haben, können Sie einen On-Demand-Scan ausführen, um die überarbeitete Sicherheitslage zu überprüfen.

Zu beachtende Punkte für das NetScaler Console Express-Konto

Das NetScaler Console Express-Konto verfügt über eingeschränkte Funktionen, einschließlich der Beschränkung auf nur zwei Konfigurationsaufträge. Weitere Informationen zum NetScaler Console Express-Konto finden Sie unter NetScaler Console-Ressourcen mithilfe des Express-Kontos verwalten . Für die CVE-2020-8300-Wiederherstellung müssen Sie so viele Konfigurationsaufträge ausführen, wie die Anzahl Ihrer anfälligen NetScaler-Instanzen entspricht. Wenn Sie also ein Express-Konto haben und mehr als zwei Konfigurationsaufträge ausführen müssen, befolgen Sie diese Problemumgehung.

** Problemumgehung : Führen Sie zwei Konfigurationsaufträge für zwei anfällige NetScaler-Instanzen aus und löschen Sie dann beide Jobs, um die nächsten beiden Jobs für die nächsten beiden anfälligen NetScaler-Instanzen fortzusetzen. Fahren Sie fort, bis Sie alle anfälligen Instanzen abgedeckt haben. Bevor Sie die Jobs löschen, können Sie den Bericht zur späteren Verwendung herunterladen. Um den Bericht herunterzuladen, wählen Sie unter **Netzwerk > Jobsdie Jobs aus und klicken Sie unter Aktionen auf Herunterladen.

Beispiel: Wenn Sie sechs anfällige NetScaler-Instanzen haben, führen Sie zwei Konfigurationsaufträge auf jeweils zwei anfälligen Instanzen aus und löschen Sie dann beide Konfigurationsjobs. Wiederholen Sie diesen Schritt noch zweimal. Am Ende hätten Sie sechs Konfigurationsjobs für jeweils sechs NetScaler-Instanzen ausgeführt. In der NetScaler Console-Benutzeroberfläche unter Infrastruktur > Jobs werden nur die letzten beiden Konfigurationsaufträge angezeigt.

Szenario

In diesem Szenario sind drei NetScaler-Instanzen anfällig für CVE-2020-8300, und Sie müssen alle Instanzen reparieren. Führen Sie die folgenden Schritte aus:

  1. Führen Sie ein Upgrade aller drei NetScaler-Instanzen durch, indem Sie die Schritte im Abschnitt Eine Instanz aktualisieren in diesem Dokument befolgen.

  2. Wenden Sie den Konfigurationspatch mithilfe des Konfigurationsauftragsworkflows jeweils auf einen NetScaler an. Sehen Sie sich die Schritte an, die im Abschnitt Konfigurationsbefehle anwenden in diesem Dokument beschrieben werden.

Der anfällige NetScaler 1 hat die folgende Konfiguration:

Zwei SAML-Aktionen Zwei SAML-Profile
SAML-Aktion 1 hat eine Domäne und SAML-Aktion 2 hat zwei Domänen SAML-Profil 1 hat eine URL und SAML-Profil 2 hat zwei URLs.

Starten Sie einen Workflow für Konfigurationsjobs

Wählen Sie NetScaler 1 aus und klicken Sie auf Weiter zum Workflow für den Konfigurationsauftrag .** Die integrierte Vorlage wird automatisch ausgefüllt. Geben Sie als Nächstes einen Auftragsnamen an und passen Sie die Vorlage entsprechend der angegebenen Konfiguration an.

Vorlage für gegebenes Szenario anpassen

In den folgenden Tabellen sind die Variablendefinitionen für benutzerdefinierte Parameter aufgeführt.

Tabelle 1. Variablendefinitionen für SAML-Aktionen

NetScaler-Konfiguration Variablendefinition für Patset Variablendefinition für den SAML-Aktionsnamen Variablendefinition für Domain
SAML action 1 hat eine Domain saml_action_patset1 saml_action_name1 saml_action_domain1
SAML-Aktion 2 hat zwei Domänen saml_action_patset2 saml_action_name2 saml_action_domain2, saml_action_domain3

Tabelle 2. Variablendefinitionen für SAML-Profile

NetScaler-Konfiguration Variablendefinition für Patset Variablendefinition für SAML-Profilnamen Variablendefinition für URL
SAML-Profil 1 hat eine URL saml_profile_patset1 saml_profile_name1 saml_profile_url1
SAML-Profil 2 hat zwei URLs saml_profile_patset2 saml_profile_name2 saml_profile_url2, saml_profile_url3

Wählen Sie unter Instanzen auswählen die Option NetScaler 1 aus und klicken Sie auf Weiter. Das Fenster Variablenwerte angeben wird angezeigt. In diesem Schritt müssen Sie Werte für alle im vorherigen Schritt definierten Variablen angeben.

Variables Szenario angeben

Überprüfen Sie als Nächstes die Variablen.

Klicken Sie auf Weiter und dann auf Fertig stellen, um den Job auszuführen.

Nachdem der Job ausgeführt wurde, wird er unter Infrastruktur > Konfiguration > Konfigurationsjobsangezeigt.

Nachdem Sie die beiden Standardisierungsschritte für NetScaler 1 abgeschlossen haben, führen Sie dieselben Schritte aus, um NetScaler 2 und NetScaler 3 zu standardisieren. Nach Abschluss der Standardisierung können Sie einen Anforderungsscan ausführen, um die überarbeitete Sicherheitslage zu überprüfen.

Sicherheitsrisiko CVE-2020-8300 korrigieren