Service NetScaler Console

Identifier et corriger les vulnérabilités du CVE-2021-22956

Dans le tableau de bord des conseils de sécurité de la console NetScaler, sous CVE actuels > Les <number of>instances NetScaler sont affectées par des vulnérabilités et des expositions courantes (CVE), vous pouvez voir toutes les instances vulnérables en raison de cette CVE spécifique. Pour vérifier les détails des instances concernées par CVE-2021-22956, sélectionnez CVE-2021-22956 et cliquez sur Afficher les instances affectées.

Tableau de bord contenant des conseils de sécurité pour CVE-2021-22927 et CVE-2021-22920

La <number of>fenêtre Instances NetScaler affectées par les CVE s’affiche. Vous trouverez ici le nombre et les détails des instances NetScaler touchées par CVE-2021-22956.

Instances impactées par CVE-2020-8300

Pour plus d’informations sur le tableau de bord des avis de sécurité, voir Avis de sécurité.

Remarque

L’analyse du système d’avis de sécurité peut prendre un certain temps avant de se terminer et de refléter l’impact du CVE-2021-22956 dans le module d’avis de sécurité. Pour voir l’impact plus rapidement, lancez une analyse à la demande en cliquant sur Scanner maintenant.

Identifiez les instances touchées par le CVE-2021-22956

CVE-2021-22956 nécessite un scan personnalisé, au cours duquel la console NetScaler se connecte à l’instance NetScaler gérée et envoie un script à l’instance. Le script s’exécute sur l’instance NetScaler et vérifie les paramètres du fichier de configuration Apache (httpd.conf file) et du nombre maximum de connexions client (maxclient) pour déterminer si une instance est vulnérable ou non. Les informations que le script partage avec NetScaler Console sont l’état de la vulnérabilité en booléen (vrai ou faux). Le script renvoie également à la console NetScaler une liste de comptes pour max_clients pour différentes interfaces réseau, par exemple l’hôte local, le NSIP et le SNIP avec accès de gestion. Vous pouvez consulter un rapport détaillé de cette liste dans le fichier CSV que vous pouvez télécharger à partir de l’onglet Journaux de numérisation de la page des avis de sécurité .

Ce script s’exécute à chaque exécution de vos analyses à la demande planifiées. Une fois l’analyse terminée, le script est supprimé de l’instance NetScaler.

Corriger CVE-2021-22956

Pour les instances NetScaler affectées par CVE-2021-22956, la correction est un processus en deux étapes. Dans l’interface graphique, sous Current CVE > Les instances NetScaler sont affectées par les CVE, vous pouvez consulter les étapes 1 et 2.

Étapes de correction pour CVE-2021-22927 et CVE-2021-22920

Les deux étapes sont les suivantes :

  1. Mise à niveau des instances vulnérables de NetScaler vers une version et une version contenant le correctif.

  2. Appliquer les commandes de configuration requises à l’aide du modèle de configuration intégré personnalisable dans les tâches de configuration.

Sous CVE> Instances NetScaler actuelles affectées par les CVE, vous trouverez deux flux de travail distincts pour ce processus de correction en deux étapes : Procéder au flux de travail de mise à niveau et Procéder au flux de travail de configuration.

Processus de remédiation

Étape 1 : mettre à niveau les instances vulnérables de NetScaler

Pour mettre à niveau les instances vulnérables, sélectionnez les instances et cliquez sur Procéder au flux de travail de mise à niveau. Le flux de mise à niveau s’ouvre avec les instances NetScaler vulnérables déjà renseignées.

Pour plus d’informations sur l’utilisation de la console NetScaler pour mettre à niveau des instances NetScaler, consultez Créer une tâche de mise à niveau NetScaler.

Remarque

Cette étape peut être effectuée en une seule fois pour toutes les instances vulnérables de NetScaler.

Étape 2 : Appliquer les commandes de configuration

Après avoir mis à niveau les instances concernées, dans la fenêtre <number of> Instances NetScaler touchées par les CVE, sélectionnez l’instance concernée par CVE-2021-22956 et cliquez sur Procéder au workflow des tâches de configuration. Le flux de travail inclut les étapes suivantes.

  1. Personnalisation de la configuration.
  2. Examen des instances impactées renseignées automatiquement.
  3. Spécification des entrées pour les variables de la tâche.
  4. Révision de la configuration finale avec les entrées variables renseignées.
  5. Exécuter le travail.

Gardez les points suivants à l’esprit avant de sélectionner une instance et de cliquer sur Procéder au flux de travail de configuration :

  • Pour une instance NetScaler affectée par plusieurs CVE (comme CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 et CVE-2021-22956) : lorsque vous sélectionnez l’instance et que vous cliquez sur Procéder au flux de travail de configuration, le modèle de configuration intégré ne se remplit pas automatiquement sous Sélectionner la configuration. Glissez et déposez manuellement le modèle de tâche de configuration approprié sous Modèle d’avis de sécurité dans le volet des tâches de configuration sur le côté droit.

  • Pour plusieurs instances NetScaler affectées par CVE-2021-22956 uniquement : vous pouvez exécuter des tâches de configuration sur toutes les instances à la fois. Par exemple, vous avez NetScaler 1, NetScaler 2 et NetScaler 3, et tous sont concernés uniquement par CVE-2021-22956. Sélectionnez toutes ces instances et cliquez sur Procéder au flux de travail de configuration. Le modèle de configuration intégré s’affiche automatiquement sous Sélectionner la configuration. Reportez-vous au problème connu NSADM-80913 dans les notes de publication.

  • Pour plusieurs instances NetScaler affectées par CVE-2021-22956 et une ou plusieurs autres CVE (telles que CVE-2020-8300, CVE-2021-22927 et CVE-2021-22920), qui nécessitent une correction à appliquer à chaque NetScaler à la fois : lorsque vous sélectionnez ces instances et cliquez sur Procéder au flux de travail de configuration, un message d’erreur s’affiche vous demandant d’exécuter la tâche de configuration sur chaque NetScaler Scaler à la fois.

Étape 1 : Sélection de la configuration

Dans le flux de travail de configuration, le modèle de base de configuration intégré est automatiquement renseigné sous Sélectionner la configuration.

Sélectionnez la configuration

Étape 2 : Sélectionnez l’instance

L’instance affectée est automatiquement renseignée sous Select Instances. Sélectionnez l’instance. Si cette instance fait partie d’une paire HA, sélectionnez Exécuter sur des nœuds secondaires. Cliquez sur Suivant.

Sélectionnez une instance

Remarque

Pour les instances NetScaler en mode cluster, à l’aide d’un avis de sécurité, la console NetScaler prend en charge l’exécution de la tâche de configuration uniquement sur le nœud CCO (Cluster Configuration Coordinator). Exécutez les commandes séparément sur les nœuds non-CCO.

rc.netscaler est synchronisé sur tous les nœuds HA et de cluster, ce qui rend la correction persistante après chaque redémarrage.

Étape 3 : Spécifier les valeurs des variables

Entrez les valeurs des variables.

Spécifier des variables

Sélectionnez l’une des options suivantes pour spécifier des variables pour vos instances :

Valeurs de variables communes pour toutes les instances : Entrez une valeur commune pour la variable max_client.

Téléchargez le fichier d’entrée pour les valeursdes variables : cliquez sur Télécharger le fichier clé d’entrée pour télécharger un fichier d’entrée. Dans le fichier d’entrée, entrez les valeurs de la variablemax_client, puis chargez le fichier sur le serveur NetScaler Console. Reportez-vous au problème connu NSADM-80913 dans les notes de mise à jour concernant un problème lié à cette option.

Remarque

Pour les deux options mentionnées ci-dessus, la max_client valeur recommandée est 30. Vous pouvez définir la valeur en fonction de votre valeur actuelle. Toutefois, elle ne doit pas être nulle et doit être inférieure ou égale à la valeur max_client définie dans le /etc/httpd.conf fichier. Vous pouvez vérifier la valeur actuelle définie dans le fichier /etc/httpd.confde configuration du serveur HTTP Apache en recherchant la chaîne MaxClientsdans l’instance NetScaler

Étape 4 : Prévisualiser la configuration

Prévisualise les valeurs des variables qui ont été insérées dans la configuration et cliquez sur Suivant.

Prévisualiser le job

Étape 5 : Exécuter la tâche

Cliquez sur Terminer pour exécuter la tâche de configuration.

Exécuter une tâche de configuration

Une fois la tâche exécutée, elle apparaît sous Infrastructure > Configuration > Tâches de configuration.

Après avoir effectué les deux étapes de correction pour toutes les instances vulnérables de NetScaler, vous pouvez exécuter un scan à la demande pour vérifier la posture de sécurité révisée.

Identifier et corriger les vulnérabilités du CVE-2021-22956