Application Delivery Management

Identificar y corregir las vulnerabilidades del CVE-2021-22956

En el panel de asesoramiento de seguridad de NetScaler ADM, en CVEactuales > Las instancias de<number of>ADC se ven afectadas por vulnerabilidades y exposiciones (CVE) comunes, puede ver todas las instancias vulnerables debido a este CVE específico. Para comprobar los detalles de las instancias afectadas por el CVE-2021-22956, seleccione CVE-2021-22956 y haga clic en Ver instancias afectadas.

Tablero de consejos de seguridad para CVE-2021-22927 y CVE-2021-22920

Aparecen las instancias de<number of>ADC afectadas por la ventana CVE. Aquí puede ver el recuento y los detalles de las instancias de ADC afectadas por el CVE-2021-22956.

Instancias afectadas por el CVE-2020-8300

Para obtener más información sobre el panel de asesoramiento de seguridad, consulte Asesoramiento de seguridad .

Nota

Es posible que el escaneo del sistema de asesoramiento de seguridad tarde algún tiempo en concluir y reflejar el impacto del CVE-2021-22956 en el módulo de asesoramiento de seguridad. Para ver el impacto antes, inicie un análisis bajo demanda haciendo clic en Escanear ahora.

Identifique las instancias afectadas por el CVE-2021-22956

El CVE-2021-22956 requiere un escaneo personalizado, en el que el servicio ADM se conecta con la instancia ADC administrada y envía un script a la instancia. El script se ejecuta en la instancia ADC y comprueba los parámetros del archivo de configuración de Apache (httpd.conf file) y del número máximo de conexiones de cliente (maxclient) para determinar si una instancia es vulnerable o no. La información que el script comparte con el servicio ADM es el estado de la vulnerabilidad en formato booleano (verdadero o falso). El script también devuelve al servicio ADM una lista de recuentos de max_clients para diferentes interfaces de red, por ejemplo, host local, NSIP y SNIP con acceso de administración.

Este script se ejecuta cada vez que se ejecutan los análisis programados bajo demanda. Una vez finalizado el escaneo, el script se elimina de la instancia de ADC.

Remediar CVE-2021-22956

Para las instancias de ADC afectadas por el CVE-2021-22956, la corrección consiste en un proceso de dos pasos. En la GUI, en losCVE actuales > Las instancias de ADC se ven afectadas por los CVE, puede ver los pasos 1 y 2.

Pasos de corrección para los CVE-2021-22927 y CVE-2021-22920

Los dos pasos incluyen:

  1. Actualización de las instancias de ADC vulnerables a una versión y una compilación que tengan la solución.

  2. Aplicar los comandos de configuración necesarios mediante la plantilla de configuración integrada personalizable en los trabajos de configuración.

En CVE actuales > Instancias de ADC afectadas por las CVE, verá dos flujos de trabajo independientes para este proceso de corrección de 2 pasos: Proceder a actualizar el flujo de trabajo y Proceder al flujo de trabajo de configuración.

flujos de trabajo de corrección

Paso 1: Actualizar las instancias de ADC vulnerables

Para actualizar las instancias vulnerables, seleccione las instancias y haga clic en Continuar para actualizar el flujo de trabajo. El flujo de trabajo de actualización se abre con las instancias de ADC vulnerables ya ocupadas.

Para obtener más información sobre cómo usar NetScaler ADM para actualizar las instancias de ADC, consulte Crear un trabajo de actualización de ADC.

Nota

Este paso se puede realizar de una vez para todas las instancias de ADC vulnerables.

Paso 2: Aplicar los comandos de configuración

Tras actualizar las instancias afectadas, en la ventana <number of> Instancias de ADC afectadas por los CVE, seleccione la instancia afectada por el CVE-2021-2295 y haga clic en Continuar con el flujo de trabajo de configuración. El flujo de trabajo incluye los siguientes pasos.

  1. Personalización de la configuración.
  2. Revisar las instancias afectadas que se rellenan automáticamente.
  3. Especificar entradas para las variables del trabajo.
  4. Revisar la configuración final con las entradas variables rellenadas.
  5. Ejecutar el trabajo.

Tenga en cuenta los siguientes puntos antes de seleccionar una instancia y hacer clic en Continuar con el flujo de trabajo de configuración:

  • Para una instancia de ADC afectada por varios CVE (como CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 y CVE-2021-22956): al seleccionar la instancia y hacer clic en Continuar con el flujo de trabajo de configuración, la plantilla de configuración integrada no se rellena automáticamente en Seleccionar configuración. Arrastre y suelte la plantilla de trabajo de configuración correspondiente en la sección Plantilla de asesoramiento de seguridad manualmente en el panel de tareas de configuración del lado derecho.

  • Para varias instancias de ADC que se ven afectadas únicamente por el CVE-2021-22956: puede ejecutar trabajos de configuración en todas las instancias a la vez. Por ejemplo, tiene ADC 1, ADC 2 y ADC 3, y todos ellos se ven afectados únicamente por el CVE-2021-22956. Seleccione todas estas instancias y haga clic en Continuar con el flujo de trabajo de configuración, y la plantilla de configuración integrada se rellenará automáticamente en Seleccionar configuración. Consulte el problema conocido NSADM-80913 en las notas de la versión.

  • Para varias instancias de ADC afectadas por CVE-2021-22956 y uno o más CVE (como CVE-2020-8300, CVE-2021-22927 y CVE-2021-22920), que requieren una corrección para aplicarla a cada ADC a la vez: al seleccionar estas instancias y hacer clic en Continuar con el flujo de trabajo de configuración, se produce un error aparece un mensaje que le indica que ejecute el trabajo de configuración en cada ADC a la vez.

Paso 1: Seleccione la configuración

En el flujo de trabajo de configuración, la plantilla base de configuración integrada se rellena automáticamente en Seleccionar configuración.

Seleccione la configuración

Paso 2: selecciona la instancia

La instancia afectada se rellena automáticamente en Seleccionar instancias. Seleccione la instancia. Si esta instancia forma parte de un par de HA, seleccione Ejecutar en nodos secundarios. Haz clic en Siguiente .

Seleccionar instancia

Nota

Para las instancias de ADC en modo clúster, mediante el asesoramiento de seguridad de ADM, ADM permite ejecutar el trabajo de configuración solo en el nodo del coordinador de configuración del clúster (CCO). Ejecute los comandos en nodos que no sean de CCO por separado.

rc.netscaler se sincroniza en todos los nodos de alta disponibilidad y del clúster, lo que hace que la corrección sea persistente después de cada reinicio.

Paso 3: especificar los valores de las variables

Introduzca los valores de las variables.

Especificar variables

Seleccione una de las siguientes opciones para especificar las variables de sus instancias:

Valores de variables comunes para todas las instancias: introduzca un valor común para la variable max_client.

Cargar archivo de entrada para valoresde variables : haga clic en Descargar archivo de claves de entrada para descargar un archivo de entrada. En el archivo de entrada, introduzca los valores de la variable max_client y, a continuación, suba el archivo al servidor ADM. Consulte el problema conocido NSADM-80913 en las notas de la versión, notas sobre un problema relacionado con esta opción.

Nota

Para las dos opciones mencionadas anteriormente, el valor max_client recomendado es 30. Puede establecer el valor de acuerdo con su valor actual. Sin embargo, no debe ser cero y debe ser inferior o igual al conjunto max_client del archivo /etc/httpd.conf. Puede comprobar el conjunto de valores actuales en el archivo de configuración /etc/httpd.conf del servidor HTTP Apache buscando la cadena MaxClients, en la instancia de ADC.

Paso 4: Vista previa de la configuración

Previsualiza los valores de las variables que se han insertado en la configuración y haga clic en Siguiente.

Vista previa del trabajo

Paso 5: Ejecute el trabajo

Haga clic en Finalizar para ejecutar el trabajo de configuración.

Ejecutar trabajo de configuración

Una vez ejecutado el trabajo, aparece en Infraestructura > Configuración > Trabajos de configuración.

Tras completar los dos pasos de corrección para todos los ADC vulnerables, puede ejecutar un análisis bajo demanda para ver la postura de seguridad revisada.

Identificar y corregir las vulnerabilidades del CVE-2021-22956