Servicio NetScaler Console

Identificar y corregir las vulnerabilidades del CVE-2021-22956

En el panel de asesoramiento de seguridad de NetScaler Console, en CVE actuales > Las <number of>instancias de NetScaler se ven afectadas por vulnerabilidades y exposiciones comunes (CVE), puede ver todas las instancias vulnerables debido a este CVE específico. Para comprobar los detalles de las instancias afectadas por el CVE-2021-22956, seleccione CVE-2021-22956 y haga clic en Ver instancias afectadas.

Tablero de consejos de seguridad para CVE-2021-22927 y CVE-2021-22920

Aparece <number of>la ventana de instancias de NetScaler afectadas por CVE. Aquí puede ver el recuento y los detalles de las instancias de NetScaler afectadas por el CVE-2021-22956.

Instancias afectadas por el CVE-2020-8300

Para obtener más información sobre el panel de asesoramiento de seguridad, consulte Asesoramiento de seguridad .

Nota

Es posible que el escaneo del sistema de asesoramiento de seguridad tarde algún tiempo en concluir y reflejar el impacto del CVE-2021-22956 en el módulo de asesoramiento de seguridad. Para ver el impacto antes, inicie un análisis bajo demanda haciendo clic en Escanear ahora.

Identifique las instancias afectadas por el CVE-2021-22956

El CVE-2021-22956 requiere un análisis personalizado, en el que la consola de NetScaler se conecta con la instancia de NetScaler administrada y envía un script a la instancia. El script se ejecuta en la instancia de NetScaler y comprueba los parámetros del archivo de configuración de Apache (httpd.conf file) y del número máximo de conexiones de cliente (maxclient) para determinar si una instancia es vulnerable o no. La información que el script comparte con NetScaler Console es el estado de la vulnerabilidad en booleano (verdadero o falso). El script también devuelve a NetScaler Console una lista de recuentos de max_clients para diferentes interfaces de red, por ejemplo, host local, NSIP y SNIP con acceso de administración. Puede ver un informe detallado de esta lista en el archivo CSV que puede descargar de la ficha Registros de escaneo de la página de consejos de seguridad.

Este script se ejecuta cada vez que se ejecutan los análisis programados bajo demanda. Una vez finalizado el escaneo, el script se elimina de la instancia de NetScaler.

Remediar CVE-2021-22956

En el caso de las instancias de NetScaler afectadas por el CVE-2021-22956, la corrección es un proceso de dos pasos. En la GUI, en CVE actuales > Las instancias de NetScaler se ven afectadas por las CVE, puede ver los pasos 1 y 2.

Pasos de corrección para los CVE-2021-22927 y CVE-2021-22920

Los dos pasos incluyen:

  1. Actualización de las instancias vulnerables de NetScaler a una versión y compilación que tengan la solución.

  2. Aplicar los comandos de configuración necesarios mediante la plantilla de configuración integrada personalizable en los trabajos de configuración.

En CVE actuales> Instancias de NetScaler afectadas por las CVE, verá dos flujos de trabajo independientes para este proceso de corrección de dos pasos: continuar con el flujo de trabajo de actualización y continuar con el flujo de trabajo de configuración.

flujos de trabajo de corrección

Paso 1: Actualizar las instancias vulnerables de NetScaler

Para actualizar las instancias vulnerables, seleccione las instancias y haga clic en Continuar para actualizar el flujo de trabajo. El flujo de trabajo de actualización se abre con las instancias vulnerables de NetScaler ya pobladas.

Para obtener más información sobre cómo usar NetScaler Console para actualizar las instancias de NetScaler, consulte Crear un trabajo de actualización de NetScaler.

Nota

Este paso se puede realizar de una vez para todas las instancias de NetScaler vulnerables.

Paso 2: Aplicar los comandos de configuración

Después de actualizar las instancias afectadas, en la ventana <number of> Instancias de NetScaler afectadas por CVE, seleccione la instancia afectada por el CVE-2021-22956 y haga clic en Continuar con el flujo de trabajo del trabajo de configuración. El flujo de trabajo incluye los siguientes pasos.

  1. Personalización de la configuración.
  2. Revisar las instancias afectadas que se rellenan automáticamente.
  3. Especificar entradas para las variables del trabajo.
  4. Revisar la configuración final con las entradas variables rellenadas.
  5. Ejecutar el trabajo.

Tenga en cuenta los siguientes puntos antes de seleccionar una instancia y hacer clic en Continuar con el flujo de trabajo de configuración:

  • En el caso de una instancia de NetScaler afectada por varios CVE (como CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 y CVE-2021-22956): al seleccionar la instancia y hacer clic en Proceder al flujo de trabajo de configuración, la plantilla de configuración integrada no se rellena automáticamente en Seleccionar configuración. Arrastre y suelte la plantilla de trabajo de configuración correspondiente en la sección Plantilla de asesoramiento de seguridad manualmente en el panel de tareas de configuración del lado derecho.

  • Solo para varias instancias de NetScaler afectadas por el CVE-2021-22956: puede ejecutar trabajos de configuración en todas las instancias a la vez. Por ejemplo, tiene NetScaler 1, NetScaler 2 y NetScaler 3, y todos ellos solo se ven afectados por el CVE-2021-22956. Seleccione todas estas instancias y haga clic en Continuar con el flujo de trabajo de configuración, y la plantilla de configuración integrada se rellenará automáticamente en Seleccionar configuración. Consulte el problema conocido NSADM-80913 en las notas de la versión.

  • En el caso de varias instancias de NetScaler afectadas por el CVE-2021-22956 y uno o varios otros CVE (como CVE-2020-8300, CVE-2021-22927 y CVE-2021-22920), que requieren la aplicación de correcciones a cada NetScaler a la vez: al seleccionar estas instancias y hacer clic en Continuar con el flujo de trabajo del trabajo de configuración, aparece un mensaje de error que le indica que debe ejecutar el trabajo de configuración en cada NetScaler a la vez NetScaler a la vez.

Paso 1: Seleccione la configuración

En el flujo de trabajo de configuración, la plantilla base de configuración integrada se rellena automáticamente en Seleccionar configuración.

Seleccione la configuración

Paso 2: selecciona la instancia

La instancia afectada se rellena automáticamente en Seleccionar instancias. Seleccione la instancia. Si esta instancia forma parte de un par de HA, seleccione Ejecutar en nodos secundarios. Haz clic en Siguiente .

Seleccionar instancia

Nota

Para las instancias de NetScaler en modo clúster, mediante el asesoramiento de seguridad, la consola de NetScaler permite ejecutar el trabajo de configuración solo en el nodo del coordinador de configuración de clústeres (CCO). Ejecute los comandos en nodos que no sean de CCO por separado.

rc.netscaler se sincroniza en todos los nodos de alta disponibilidad y del clúster, lo que hace que la corrección sea persistente después de cada reinicio.

Paso 3: especificar los valores de las variables

Introduzca los valores de las variables.

Especificar variables

Seleccione una de las siguientes opciones para especificar las variables de sus instancias:

Valores de variables comunes para todas las instancias: introduzca un valor común para la variable max_client.

Cargar archivo de entrada para valoresde variables : haga clic en Descargar archivo de claves de entrada para descargar un archivo de entrada. En el archivo de entrada, introduzca los valores de la variable max_clienty, a continuación, cargue el archivo en el servidor de NetScaler Console. Consulte el problema conocido NSADM-80913 en las notas de la versión, notas sobre un problema relacionado con esta opción.

Nota

Para las dos opciones mencionadas anteriormente, el valor max_client recomendado es 30. Puede establecer el valor de acuerdo con su valor actual. Sin embargo, no debe ser cero y debe ser inferior o igual al conjunto max_client del archivo /etc/httpd.conf. Puede comprobar el valor actual establecido en el archivo /etc/httpd.confde configuración del servidor HTTP Apache buscando la cadena MaxClientsen la instancia de NetScaler

Paso 4: Vista previa de la configuración

Previsualiza los valores de las variables que se han insertado en la configuración y haga clic en Siguiente.

Vista previa del trabajo

Paso 5: Ejecute el trabajo

Haga clic en Finalizar para ejecutar el trabajo de configuración.

Ejecutar trabajo de configuración

Una vez ejecutado el trabajo, aparece en Infraestructura > Configuración > Trabajos de configuración.

Tras completar los dos pasos de corrección para todas las instancias vulnerables de NetScaler, puede ejecutar un análisis bajo demanda para ver la postura de seguridad revisada.

Identificar y corregir las vulnerabilidades del CVE-2021-22956