Application Delivery Management

Corriger les vulnérabilités de CVE-2020-8300

Dans le tableau de bord des conseils de sécurité de NetScaler ADM, sous Current CVE > Les instances <number of> ADC sont affectées par les CVE, vous pouvez voir toutes les instances vulnérables en raison de cette CVE spécifique. Pour vérifier les détails des instances concernées par CVE-2020-8300, sélectionnez CVE-2020-8300 et cliquez sur Afficher les instances affectées.

Tableau de bord contenant des avis de sécurité pour CVE-2020-8300

Remarque

Pour plus d’informations sur le tableau de bord des avis de sécurité, voir Avis de sécurité.

La fenêtre <number of> Instances ADC impactées par les CVE s’affiche. Vous trouverez ici le nombre et les détails des instances ADC impactées par la CVE-2020-8300.

Instances impactées par CVE-2020-8300

Corriger CVE-2020-8300

Pour les instances ADC impactées par CVE-2020-8300, la correction se fait en deux étapes. Dans l’interface graphique, sous CVE actuels > Les instances ADC sont affectées par les CVE , vous pouvez voir les étapes 1 et 2.

Étapes de correction

Les deux étapes sont les suivantes :

  1. Mise à niveau des instances ADC vulnérables vers une version et une version contenant le correctif.
  2. Appliquer les commandes de configuration requises à l’aide du modèle de configuration intégré personnalisable dans les tâches de configuration. Suivez cette étape pour chaque ADC vulnérable un par un et incluez toutes les actions SAML et les profils SAML pour cet ADC.

SousCVE actuels > Instances ADC affectées par les CVE, vous pouvez voir deux flux de travail distincts pour ce processus de correction en deux étapes : Procéder à la mise à niveau du flux detravail et Passer au fluxde travail de configuration.

Processus de remédiation

Étape 1 : Mettre à niveau les instances ADC vulnérables

Pour mettre à niveau les instances vulnérables, sélectionnez les instances et cliquez sur Procéder au flux de travail de mise à niveau. Le flux de travail de mise à niveau s’ouvre avec les instances ADC vulnérables déjà renseignées.

Étape 1 de remédiation

Pour plus d’informations sur l’utilisation de NetScaler ADM pour mettre à niveau des instances ADC, consultez Créer unetâche de mise à niveau ADC.

Remarque

Cette étape peut être effectuée en une seule fois pour toutes les instances ADC vulnérables.

Étape 2 : Appliquer les commandes de configuration

Après avoir mis à niveau les instances concernées, dans la fenêtre <number of> Instances ADC affectées par les CVE, sélectionnez une instance affectée par CVE-2020-8300 et cliquez sur Procéder au flux de travail de configuration. Le flux de travail inclut les étapes suivantes.

  1. Personnalisation de la configuration.
  2. Examen des instances impactées renseignées automatiquement.
  3. Spécification des entrées pour les variables de la tâche.
  4. Révision de la configuration finale avec les entrées variables renseignées.
  5. Exécuter le travail.

Gardez les points suivants à l’esprit avant de sélectionner une instance et de cliquer sur Procéder au flux de travail de configuration :

  • Pour une instance ADC affectée par plusieurs CVE (tels que CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 et CVE-2021-22956) : lorsque vous sélectionnez l’instance et que vous cliquez sur Procéder au flux de travail de la tâche de configuration, le modèle de configuration intégré ne se remplit pas automatiquement sous Sélectionner la configuration. Glissez et déposez manuellement le modèle de tâche de configuration approprié sous Modèle d’avis de sécurité dans le volet des tâches de configuration sur le côté droit.

  • Pour plusieurs instances ADC impactées par CVE-2021-22956 uniquement : vous pouvez exécuter des tâches de configuration sur toutes les instances en même temps. Par exemple, vous avez l’ADC 1, l’ADC 2 et l’ADC 3, et tous sont affectés uniquement par CVE-2021-22956. Sélectionnez toutes ces instances et cliquez sur Procéder au flux de travail de configuration. Le modèle de configuration intégré s’affiche automatiquement sous Sélectionner la configuration.

  • Pour plusieurs instances ADC impactées par CVE-2021-22956 et un ou plusieurs autres CVE (telles que CVE-2020-8300, CVE-2021-22927 et CVE-2021-22920), qui nécessitent une correction à appliquer à chaque ADC à la fois : lorsque vous sélectionnez ces instances et que vous cliquez sur Procéder au flux de travail de tâche de configuration, une erreur se produit Un message apparaît vous demandant d’exécuter la tâche de configuration sur chaque ADC à la fois.

Étape 1 : Sélection de la configuration

Dans le flux de travail de la tâche de configuration, le modèle de configuration intégré est automatiquement renseigné sous Sélectionner la configuration.

Sélectionnez la configuration

Exécutez une tâche de configuration distincte pour chaque instance ADC affectée, une par une, et incluez toutes les actions SAML et les profils SAML pour cet ADC. Par exemple, si vous avez deux instances ADC vulnérables ayant chacune deux actions SAML et deux profils SAML, vous devez exécuter cette tâche de configuration deux fois. Une fois par ADC couvrant toutes ses actions SAML et tous ses profils SAML.

ADC 1 ADC2
Tâche 1 : deux actions SAML+deux profils SAML Tâche 2 : deux actions SAML+deux profils SAML

Donnez un nom à la tâche et personnalisez le modèle selon les spécifications suivantes. Le modèle de configuration intégré n’est qu’un modèle de plan ou de base. Personnalisez le modèle en fonction de votre déploiement pour répondre aux exigences suivantes :

a. Actions SAML et domaines associés

En fonction du nombre d’actions SAML que vous avez dans votre déploiement, vous devez répliquer les lignes 1 à 3 et personnaliser les domaines pour chaque action SAML.

Personnaliser l'action SAML

Par exemple, si vous avez deux actions SAML, répétez les lignes 1 à 3 deux fois et personnalisez en conséquence les définitions de variables pour chaque action SAML.

Et si vous avez N domaines pour une action SAML, vous devez saisir manuellement la ligne bind patset $saml_action_patset$ “$saml_action_domain1$” plusieurs fois pour vous assurer que la ligne apparaît N fois pour cette action SAML. Et modifiez les noms des définitions de variables suivants :

  • saml_action_patset: est la variable du modèle de configuration et représente la valeur du nom du jeu de modèles (patset) pour l’action SAML. Vous pouvez spécifier la valeur réelle à l’étape 3 du flux de travail de configuration. Consultez la section Étape 3 : Spécifier les valeurs des variables dans ce document.

  • saml_action_domain1: est la variable du modèle de configuration, qui représente le nom de domaine pour cette action SAML spécifique. Vous pouvez spécifier la valeur réelle à l’étape 3 du flux de travail de configuration. Consultez la section Étape 3 : Spécifier les valeurs des variables dans ce document.

Pour rechercher toutes les actions SAML d’un appareil, exécutez la commande show samlaction.

Rechercher une action SAML

b. Les profils SAML et leurs URL associées

En fonction du nombre de profils SAML que vous avez dans votre déploiement, répliquez les lignes 4 à 6. Personnalisez les URL de chaque profil SAML.

Personnaliser le profil SAML

Par exemple, si vous avez deux profils SAML, entrez manuellement les lignes 4 à 6 deux fois et personnalisez en conséquence les définitions de variables pour chaque action SAML.

Et si vous avez N domaines pour une action SAML, vous devez saisir manuellement la ligne bind patset $saml_profile_patset$ “$saml_profile_url1$” plusieurs fois pour vous assurer que la ligne apparaît N fois pour ce profil SAML. Et modifiez les noms des définitions de variables suivants :

  • saml_profile_patset: est la variable du modèle de configuration, et elle représente la valeur du nom du jeu de modèles (patset) pour le profil SAML. Vous pouvez spécifier la valeur réelle à l’étape 3 du flux de travail de configuration. Voir la section Étape 3 : Spécifier les valeurs des variables dans ce document.

  • saml_profile_url1: est la variable du modèle de configuration, qui représente le nom de domaine pour ce profil SAML spécifique. Vous pouvez spécifier la valeur réelle à l’étape 3 du flux de travail de configuration. Voir la section Étape 3 : Spécifier les valeurs des variables dans ce document.

Pour rechercher tous les profils SAM d’un appareil, exécutez la commande show samlidpProfile.

Trouver le profil SAML

Étape 2 : Sélectionnez l’instance

L’instance affectée est automatiquement renseignée sous Select Instances. Sélectionnez l’instance et cliquez sur Suivant.

Sélectionnez une instance

Étape 3 : Spécifier les valeurs des variables

Entrez les valeurs des variables.

  • saml_action_patset: ajoute un nom pour l’action SAML
  • saml_action_domain1: entrez un domaine au format https://<example1.com>/
  • saml_action_name: entrez la même action SAML pour laquelle vous configurez la tâche
  • saml_profile_patset: ajouter un nom pour le profil SAML
  • saml_profile_url1: entrez l’URL dans ce format https://<example2.com>/cgi/samlauth
  • saml_profile_name: entrez le même profil SAML pour lequel vous configurez la tâche

Remarque

Pour les URL, l’extension n’est pas toujours cgi/samlauth. Cela dépend de l’autorisation tierce dont vous disposez et, en conséquence, vous devez mettre l’extension.

Spécifier des variables

Étape 4 : Prévisualiser la configuration

Prévisualise les valeurs des variables qui ont été insérées dans la configuration et cliquez sur Suivant.

Étape 5 : Exécuter la tâche

Cliquez sur Terminer pour exécuter la tâche de configuration.

Exécuter une tâche de configuration

Une fois la tâche exécutée, elle apparaît sous Infrastructure > Configuration > Tâches de configuration.

Après avoir effectué les deux étapes de correction pour tous les ADC vulnérables, vous pouvez exécuter une analyse à la demande pour voir la nouvelle posture de sécurité.

Points à noter concernant le compte NetScaler ADM Express

Le compte NetScaler ADM Express possède des fonctionnalités limitées, notamment la limitation de deux tâches de configuration uniquement.

Pour la correction du CVE-2020-8300, vous devez exécuter autant de tâches de configuration que le nombre de vos instances ADC vulnérables. Par conséquent, si vous avez un compte Express et que vous devez exécuter plus de deux tâches de configuration, suivez cette solution de contournement.

Solution : exécutez deux tâches de configuration pour deux instances ADC vulnérables, puis supprimez les deux tâches pour continuer à exécuter les deux tâches suivantes pour les deux instances ADC vulnérables suivantes. Continuez ainsi jusqu’à ce que vous ayez couvert toutes les instances vulnérables. Avant de supprimer les tâches, vous pouvez télécharger le rapport pour référence ultérieure. Pour télécharger le rapport, sous Réseau > Tâches, sélectionnez les tâches et cliquez sur Télécharger sous Actions.

Exemple : Si vous avez six instances ADC vulnérables, exécutez deux tâches de configuration sur deux instances vulnérables respectivement, puis supprimez les deux tâches de configuration. Répétez cette étape deux fois de plus. À la fin, vous auriez exécuté six tâches de configuration pour six instances ADC respectivement. Dans l’interface utilisateur de NetScaler ADM, sous Infrastructure > Tâches, vous ne voyez que les deux dernières tâchesde configuration.

Scénario

Dans ce scénario, trois instances ADC sont vulnérables au CVE-2020-8300 et vous devez corriger toutes les instances. Procédez comme suit :

  1. Mettez à niveau les trois instances ADC en suivant les étapes indiquées dans la section Mettre à niveau une instance de ce document.

  2. Appliquez le correctif de configuration à un ADC à la fois, en utilisant le flux de travail de configuration. Consultez les étapes indiquées dans la section Appliquer les commandes de configuration de ce document.

L’ADC 1 vulnérable possède la configuration suivante :

Deux actions SAML Deux profils SAML
L’action SAML 1 possède un domaine et l’action SAML 2 possède deux domaines Le profil SAML 1 possède une URL et le profil SAML 2 possède deux URL

Démarrer un flux de travail de configuration

Sélectionnez ADC 1 et cliquez sur Procéder au flux de travail de configuration. Le modèle intégré se remplit automatiquement. Ensuite, donnez un nom de tâche et personnalisez le modèle en fonction de la configuration donnée.

Personnaliser le modèle pour un scénario donné

Les tableaux suivants répertorient les définitions de variables pour les paramètres personnalisés.

Tableau 1 Définitions de variables pour l’action SAML

Configuration de l’ADC Définition de variable pour patset Définition de variable pour le nom de l’action SAML Définition de variable pour le domaine
L’action SAML 1 possède un domaine saml_action_patset1 saml_action_name1 saml_action_domain1
L’action SAML 2 comporte deux domaines saml_action_patset2 saml_action_name2 saml_action_domain2, saml_action_domain3

Tableau 2. Définitions de variables pour le profil SAML

Configuration de l’ADC Définition de variable pour patset Définition de variable pour le nom de profil SAML Définition de variable pour l’URL
Le profil SAML 1 possède une URL saml_profile_patset1 saml_profile_nom1 saml_profile_url1
Le profil SAML 2 possède deux URL saml_profile_patset2 saml_profile_nom2 saml_profile_url2, saml_profile_url3

Sous Select Instances, sélectionnez ADC 1 et cliquez sur Next. La fenêtre Spécifier les valeurs des variables s’affiche. Au cours de cette étape, vous devez fournir des valeurs pour toutes les variables définies à l’étape précédente.

Spécifier un scénario variable

Ensuite, passez en revue les variables.

Cliquez sur Suivant, puis sur Terminer pour exécuter la tâche.

Une fois la tâche exécutée, elle apparaît sous Infrastructure > Configuration > Tâches de configuration.

Après avoir terminé les deux étapes de correction pour l’ADC1, suivez les mêmes étapes pour corriger l’ADC 2 et l’ADC 3. Une fois la correction terminée, vous pouvez exécuter une analyse à la demande pour voir la nouvelle posture de sécurité.

Corriger les vulnérabilités de CVE-2020-8300