Application Delivery Management

Identifier et corriger les vulnérabilités du CVE-2021-22956

Dans le tableau de bord des avis de sécurité de NetScaler ADM, sous CVEactuels > Les instances<number of>ADC sont affectées par des vulnérabilités et des expositions courantes (CVE), vous pouvez voir toutes les instances vulnérables en raison de cette CVE spécifique. Pour vérifier les détails des instances concernées par CVE-2021-22956, sélectionnez CVE-2021-22956 et cliquez sur Afficher les instances affectées.

Tableau de bord contenant des conseils de sécurité pour CVE-2021-22927 et CVE-2021-22920

La fenêtre Instances<number of>ADC impactées par les CVE s’affiche. Vous trouverez ici le nombre et les détails des instances ADC impactées par le CVE-2021-22956.

Instances impactées par CVE-2020-8300

Pour plus d’informations sur le tableau de bord des avis de sécurité, voir Avis de sécurité.

Remarque

L’analyse du système d’avis de sécurité peut prendre un certain temps avant de se terminer et de refléter l’impact du CVE-2021-22956 dans le module d’avis de sécurité. Pour constater l’impact plus rapidement, lancez une analyse à la demande en cliquant sur Analyser maintenant.

Identifiez les instances touchées par le CVE-2021-22956

Le CVE-2021-22956 nécessite un scan personnalisé, au cours duquel le service ADM se connecte à l’instance ADC gérée et envoie un script vers l’instance. Le script s’exécute sur l’instance ADC et vérifie les paramètres du fichier de configuration Apache (httpd.conf file) et du nombre maximum de connexions client (maxclient) pour déterminer si une instance est vulnérable ou non. Les informations que le script partage avec le service ADM sont l’état de vulnérabilité en booléen (vrai ou faux). Le script renvoie également au service ADM une liste des nombres de max_clients pour différentes interfaces réseau, par exemple l’hôte local, le NSIP et le SNIP avec accès de gestion.

Ce script s’exécute à chaque exécution de vos analyses à la demande planifiées. Une fois l’analyse terminée, le script est supprimé de l’instance ADC.

Corriger CVE-2021-22956

Pour les instances ADC impactées par CVE-2021-22956, la correction se fait en deux étapes. Dans l’interface graphique, sousCurrent CVE > Les instances ADC sont impactées par les CVE, vous pouvez voir les étapes 1 et 2.

Étapes de correction pour CVE-2021-22927 et CVE-2021-22920

Les deux étapes sont les suivantes :

  1. Mise à niveau des instances ADC vulnérables vers une version et une version contenant le correctif.

  2. Appliquer les commandes de configuration requises à l’aide du modèle de configuration intégré personnalisable dans les tâches de configuration.

Sous Current CVE> Instances ADC impactées par les CVE, vous pouvez voir deux workflows distincts pour ce processus de correction en deux étapes : Procéder à la mise à niveau du flux de travail et Procéder au flux de travail de configuration.

Processus de remédiation

Étape 1 : Mettre à niveau les instances ADC vulnérables

Pour mettre à niveau les instances vulnérables, sélectionnez les instances et cliquez sur Procéder au flux de travail de mise à niveau. Le flux de travail de mise à niveau s’ouvre avec les instances ADC vulnérables déjà renseignées.

Pour plus d’informations sur l’utilisation de NetScaler ADM pour mettre à niveau des instances ADC, consultez Créer unetâche de mise à niveau ADC.

Remarque

Cette étape peut être effectuée en une seule fois pour toutes les instances ADC vulnérables.

Étape 2 : Appliquer les commandes de configuration

Après avoir mis à niveau les instances concernées, dans la fenêtre <number of> Instances ADC affectées par les CVE, sélectionnez l’instance affectée par CVE-2021-2295 et cliquez sur Procéder au flux de travail de configuration. Le flux de travail inclut les étapes suivantes.

  1. Personnalisation de la configuration.
  2. Examen des instances impactées renseignées automatiquement.
  3. Spécification des entrées pour les variables de la tâche.
  4. Révision de la configuration finale avec les entrées variables renseignées.
  5. Exécuter le travail.

Gardez les points suivants à l’esprit avant de sélectionner une instance et de cliquer sur Procéder au flux de travail de configuration :

  • Pour une instance ADC affectée par plusieurs CVE (tels que CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 et CVE-2021-22956) : lorsque vous sélectionnez l’instance et que vous cliquez sur Procéder au flux de travail de la tâche de configuration, le modèle de configuration intégré ne se remplit pas automatiquement sous Sélectionner la configuration. Glissez et déposez manuellement le modèle de tâche de configuration approprié sous Modèle d’avis de sécurité dans le volet des tâches de configuration sur le côté droit.

  • Pour plusieurs instances ADC impactées par CVE-2021-22956 uniquement : vous pouvez exécuter des tâches de configuration sur toutes les instances en même temps. Par exemple, vous avez l’ADC 1, l’ADC 2 et l’ADC 3, et tous sont affectés uniquement par CVE-2021-22956. Sélectionnez toutes ces instances et cliquez sur Procéder au flux de travail de configuration. Le modèle de configuration intégré s’affiche automatiquement sous Sélectionner la configuration. Reportez-vous au problème connu NSADM-80913 dans les notes de publication.

  • Pour plusieurs instances ADC impactées par CVE-2021-22956 et un ou plusieurs autres CVE (telles que CVE-2020-8300, CVE-2021-22927 et CVE-2021-22920), qui nécessitent une correction à appliquer à chaque ADC à la fois : lorsque vous sélectionnez ces instances et que vous cliquez sur Procéder au flux de travail de tâche de configuration, une erreur se produit Un message apparaît vous demandant d’exécuter la tâche de configuration sur chaque ADC à la fois.

Étape 1 : Sélection de la configuration

Dans le flux de travail de configuration, le modèle de base de configuration intégré est automatiquement renseigné sous Sélectionner la configuration.

Sélectionnez la configuration

Étape 2 : Sélectionnez l’instance

L’instance affectée est automatiquement renseignée sous Select Instances. Sélectionnez l’instance. Si cette instance fait partie d’une paire HA, sélectionnez Exécuter sur des nœuds secondaires. Cliquez sur Suivant .

Sélectionnez une instance

Remarque

Pour les instances ADC en mode cluster, à l’aide de l’avis de sécurité ADM, ADM prend en charge l’exécution de la tâche de configuration uniquement sur le nœud CCO (Cluster Configuration Coordinator). Exécutez les commandes séparément sur les nœuds non-CCO.

rc.netscaler est synchronisé sur tous les nœuds HA et de cluster, ce qui rend la correction persistante après chaque redémarrage.

Étape 3 : Spécifier les valeurs des variables

Entrez les valeurs des variables.

Spécifier des variables

Sélectionnez l’une des options suivantes pour spécifier des variables pour vos instances :

Valeurs de variables communes pour toutes les instances : Entrez une valeur commune pour la variable max_client.

Téléchargez le fichier d’entrée pour les valeursdes variables : cliquez sur Télécharger le fichier clé d’entrée pour télécharger un fichier d’entrée. Dans le fichier d’entrée, entrez les valeurs de la variable, max_client puis téléchargez le fichier sur le serveur ADM. Reportez-vous au problème connu NSADM-80913 dans les notes de mise à jour concernant un problème lié à cette option.

Remarque

Pour les deux options mentionnées ci-dessus, la max_client valeur recommandée est 30. Vous pouvez définir la valeur en fonction de votre valeur actuelle. Toutefois, elle ne doit pas être nulle et doit être inférieure ou égale à la valeur max_client définie dans le /etc/httpd.conf fichier. Vous pouvez vérifier la valeur actuelle définie dans le fichier de configuration du serveur HTTP Apache /etc/httpd.conf en recherchant la chaîne MaxClients, dans l’instance ADC

Étape 4 : Prévisualiser la configuration

Prévisualise les valeurs des variables qui ont été insérées dans la configuration et cliquez sur Suivant.

Prévisualiser le job

Étape 5 : Exécuter la tâche

Cliquez sur Terminer pour exécuter la tâche de configuration.

Exécuter une tâche de configuration

Une fois la tâche exécutée, elle apparaît sous Infrastructure > Configuration > Tâches de configuration.

Après avoir effectué les deux étapes de correction pour tous les ADC vulnérables, vous pouvez exécuter une analyse à la demande pour voir la nouvelle posture de sécurité.

Identifier et corriger les vulnérabilités du CVE-2021-22956