Corrija las vulnerabilidades de los CVE-2021-22927 y CVE-2021-22920
En el panel de consejos de seguridad de NetScaler ADM, en CVE actuales > Las instancias de <number of> ADC se ven afectadas por las CVE, puede ver todas las instancias vulnerables debido a los CVE-2021-22927 y CVE-2021-22920. Para comprobar los detalles de las instancias afectadas por estos dos CVE, seleccione uno o más CVE y haga clic en Ver instancias afectadas.
Nota
Es posible que el escaneo del sistema de asesoramiento de seguridad tarde un par de horas en concluir y reflejar el impacto de los CVE-2021-22927 y CVE-2021-22920 en el módulo de asesoramiento de seguridad. Para ver el impacto antes, inicie un análisis bajo demanda haciendo clic en Escanear ahora.
Para obtener más información sobre el panel de asesoramiento de seguridad, consulte Asesoramiento de seguridad .
Aparece la ventana <number of>Instancias de ADC afectadas por los CVE. En la siguiente captura de pantalla, puede ver el recuento y los detalles de las instancias de ADC afectadas por los CVE-2021-22927 y CVE-2021-22920.
Corrija los CVE-2021-22927 y CVE-2021-22920
Para las instancias de ADC afectadas por los CVE-2021-22927 y CVE-2021-22920, la corrección consiste en un proceso de dos pasos. En la GUI, en los CVE actuales > Las instancias de ADC se ven afectadas por los CVE, puede ver los pasos 1 y 2.
Los dos pasos incluyen:
- Actualización de las instancias de ADC vulnerables a una versión y una compilación que tengan la solución.
- Aplicar los comandos de configuración necesarios mediante la plantilla de configuración integrada personalizable en los trabajos de configuración. Siga este paso para cada ADC vulnerable, uno a la vez, e incluya todas las acciones de SAML para ese ADC.
Nota
Omita el paso 2 si ya ha ejecutado trabajos de configuración en la instancia ADC para el CVE-2020-8300.
En CVE actuales > Instancias de ADC afectadas por las CVE, verá dos flujos de trabajo independientes para este proceso de corrección de 2 pasos: Proceder a actualizar el flujo de trabajo y Proceder al flujo de trabajo de configuración.
Paso 1: Actualizar las instancias de ADC vulnerables
Para actualizar las instancias vulnerables, seleccione las instancias y haga clic en Continuar para actualizar el flujo de trabajo. El flujo de trabajo de actualización se abre con las instancias de ADC vulnerables ya ocupadas.
Para obtener más información sobre cómo usar NetScaler ADM para actualizar las instancias de ADC, consulte Crear un trabajo de actualización de ADC.
Nota
Este paso se puede realizar de una vez para todas las instancias de ADC vulnerables. Nota
Tras completar el paso 1 para todas las instancias de ADC vulnerables a los CVE-2021-22920 y CVE-2021-22927, realice un análisis a petición. La postura de seguridad actualizada en los CVE actuales le ayuda a comprender si las instancias de ADC siguen siendo vulnerables a alguno de estos CVE. Desde la nueva postura, también puede comprobar si necesita ejecutar trabajos de configuración. Si ya ha aplicado los trabajos de configuración adecuados a la instancia de ADC para CVE-2020-8300 y ahora ha actualizado la instancia de ADC, después de realizar el análisis bajo demanda, la instancia ya no se muestra como vulnerable para CVE-2020-8300, CVE-2021-22920 y CVE-2021-22927.
Paso 2: Aplicar los comandos de configuración
Tras actualizar las instancias afectadas, en la ventana <number of> Instancias de ADC afectadas por los CVE, seleccione una instancia afectada por los CVE-2021-22927 y CVE-2021-22920 y haga clic en Continuar con el flujo de trabajo de configuración. El flujo de trabajo incluye los siguientes pasos.
- Personalización de la configuración.
- Revisar las instancias afectadas que se rellenan automáticamente.
- Especificar entradas para las variables del trabajo.
- Revisar la configuración final con las entradas variables rellenadas.
- Ejecutar el trabajo.
Tenga en cuenta los siguientes puntos antes de seleccionar una instancia y hacer clic en Continuar con el flujo de trabajo de configuración:
-
Para una instancia de ADC afectada por varios CVE (como CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 y CVE-2021-22956): al seleccionar la instancia y hacer clic en Continuar con el flujo de trabajo de configuración, la plantilla de configuración integrada no se rellena automáticamente en Seleccionar configuración. Arrastre y suelte la plantilla de trabajo de configuración correspondiente en la sección Plantilla de asesoramiento de seguridad manualmente en el panel de tareas de configuración del lado derecho.
-
Para varias instancias de ADC que se ven afectadas únicamente por el CVE-2021-22956: puede ejecutar trabajos de configuración en todas las instancias a la vez. Por ejemplo, tiene ADC 1, ADC 2 y ADC 3, y todos ellos se ven afectados únicamente por el CVE-2021-22956. Seleccione todas estas instancias y haga clic en Continuar con el flujo de trabajo de configuración, y la plantilla de configuración integrada se rellenará automáticamente en Seleccionar configuración.
-
Para varias instancias de ADC afectadas por CVE-2021-22956 y uno o más CVE (como CVE-2020-8300, CVE-2021-22927 y CVE-2021-22920), que requieren una corrección para aplicarla a cada ADC a la vez: al seleccionar estas instancias y hacer clic en Continuar con el flujo de trabajo de configuración, se produce un error aparece un mensaje que le indica que ejecute el trabajo de configuración en cada ADC a la vez.
Paso 1: Seleccione la configuración
En el flujo de trabajo de configuración, la plantilla base de configuración integrada se rellena automáticamente en Seleccionar configuración.
Nota
Si la instancia de ADC seleccionada en el paso 2 para aplicar los comandos de configuración es vulnerable a CVE-2021-22927, CVE-2021-22920 y también a CVE-2020-8300, la plantilla base de CVE-2020-8300 se rellena automáticamente. La plantilla CVE-2020-8300 es un superconjunto de comandos de configuración necesarios para los tres CVE. Personalice esta plantilla base de acuerdo con la implementación y los requisitos de su instancia de ADC.
Debe ejecutar un trabajo de configuración independiente para cada instancia de ADC afectada, una a la vez, e incluir todas las acciones de SAML para ese ADC. Por ejemplo, si tiene dos instancias de ADC vulnerables, cada una con dos acciones de SAML, debe ejecutar este trabajo de configuración dos veces. Una vez por ADC cubriendo todas sus acciones de SAML.
| ADC 1 | ADC2 |
|---|---|
| Trabajo 1: dos acciones de SAML | Trabajo 2: dos acciones de SAML |
Asigne un nombre al trabajo y personalice la plantilla para las siguientes especificaciones. La plantilla de configuración integrada es solo un esquema o una plantilla base. Personalice la plantilla en función de su implementación para cumplir con los siguientes requisitos:
a. Acciones de SAML y sus dominios asociados
Según la cantidad de acciones de SAML que tenga en su implementación, debe replicar las líneas 1 a 3 y personalizar los dominios para cada acción de SAML.
Por ejemplo, si tiene dos acciones de SAML, repita las líneas 1 a 3 dos veces y, en consecuencia, personalice las definiciones de variables para cada acción de SAML.
Y si tiene N dominios para una acción de SAML, debe escribir la línea bind patset $saml_action_patset$ “$saml_action_domain1$” manualmente varias veces para asegurarse de que la línea aparezca N veces para esa acción de SAML. Y cambie los siguientes nombres de definición de variables:
-
saml_action_patset: es la variable de plantilla de configuración y representa el valor del nombre del conjunto de patrones (patset) de la acción SAML. Puede especificar el valor real en el paso 3 del flujo de trabajo de configuración. Consulte la sección Paso 3: Especificar los valores de las variables en este documento. -
saml_action_domain1: es la variable de plantilla de configuración y representa el nombre de dominio de esa acción SAML específica. Puede especificar el valor real en el paso 3 del flujo de trabajo de configuración. Consulte la sección Paso 3: Especificar los valores de las variables en este documento.
Para buscar todas las acciones de SAML de un dispositivo, ejecute el comando show samlaction.
Paso 2: selecciona la instancia
La instancia afectada se rellena automáticamente en Seleccionar instancias. Seleccione la instancia y haga clic en Siguiente.
Paso 3: especificar los valores de las variables
Introduzca los valores de las variables.
-
saml_action_patset: agregar un nombre para la acción SAML -
saml_action_domain1: introduzca un dominio con el formatohttps://<example1.com>/ -
saml_action_name: introduzca lo mismo de la acción SAML para la que está configurando el trabajo
Paso 4: Vista previa de la configuración
Previsualiza los valores de las variables que se han insertado en la configuración y haga clic en Siguiente.
Paso 5: Ejecute el trabajo
Haga clic en Finalizar para ejecutar el trabajo de configuración.
Una vez ejecutado el trabajo, aparece en Infraestructura > Configuración > Trabajos de configuración.
Tras completar los dos pasos de corrección para todos los ADC vulnerables, puede ejecutar un análisis bajo demanda para ver la postura de seguridad revisada.
Escenario
En este escenario, dos instancias de ADC son vulnerables a CVE-2021-22920 y debe corregir todas las instancias. Siga estos pasos:
-
Actualice las tres instancias de ADC siguiendo los pasos que se indican en la sección “Actualizar una instancia” de este documento.
-
Aplique el parche de configuración a un ADC a la vez, mediante el flujo de trabajo de configuración. Consulte los pasos que se indican en la sección “Aplicar comandos de configuración” de este documento.
El ADC 1 vulnerable tiene dos acciones de SAML:
- La acción 1 de SAML tiene un dominio
- La acción 2 de SAML tiene dos dominios
Seleccione ADC 1 y haga clic en Continuar con el flujo de trabajo de configuración. La plantilla base integrada se rellena automáticamente. A continuación, asigne un nombre a la tarea y personalice la plantilla de acuerdo con la configuración dada.
En la tabla siguiente se enumeran las definiciones de variables para los parámetros personalizados.
Tabla. Definiciones de variables para la acción SAML
| Configuración ADC | Definición de variable para patset | Definición de variable para el nombre de la acción SAML | Definición de variable para dominio |
|---|---|---|---|
| La acción 1 de SAML tiene un dominio | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| La acción 2 de SAML tiene dos dominios | saml_action_patset2 | saml_action_name2 | saml_action_domain2, saml_action_domain3 |
En Seleccionar instancias, seleccione ADC 1 y haga clic en Siguiente. Aparece la ventana Especificar valores variables. En este paso, debe proporcionar valores para todas las variables definidas en el paso anterior.
A continuación, revise las variables.
Haga clic en Siguiente y, después, en Finalizar para ejecutar el trabajo.
Una vez ejecutado el trabajo, aparece en Infraestructura > Configuración > Trabajos de configuración.
Tras completar los dos pasos de corrección para ADC1, siga los mismos pasos para corregir el ADC 2 y el ADC 3. Una vez finalizada la corrección, puede ejecutar un análisis bajo demanda para ver la postura de seguridad revisada.