Application Delivery Management

CVE-2021-22956 の脆弱性の特定と修正

NetScaler ADMセキュリティアドバイザリダッシュボードの「現在のCVE」>「<number of>ADCインスタンスは一般的な脆弱性と露出(CVE)の影響を受ける(CVE)」で、この特定のCVEによって脆弱なすべてのインスタンスを確認できます。CVE-2021-22956 の影響を受けるインスタンスの詳細を確認するには、CVE-2021-22956 を選択し、「 影響を受けるインスタンスを表示」をクリックします。

CVE-2021-22927 と CVE-2021-22920 のセキュリティアドバイザリダッシュボード

<number of>CVEの影響を受けるADCインスタンスウィンドウが表示されます。ここでは、CVE-2021-22956 の影響を受ける ADC インスタンスの数と詳細を確認できます。

CVE-2020-8300 の影響を受けるインスタンス

セキュリティアドバイザリダッシュボードの詳細については、「 セキュリティアドバイザリ」を参照してください。

セキュリティアドバイザリシステムスキャンが終了し、CVE-2021-22956 の影響をセキュリティアドバイザリモジュールに反映するまでには、しばらく時間がかかる場合があります。影響をすぐに確認するには、「 今すぐスキャン」をクリックしてオンデマンドスキャンを開始します

CVE-2021-22956 の影響を受けるインスタンスを特定してください

CVE-2021-22956 では、ADM サービスがマネージド ADC インスタンスに接続し、スクリプトをインスタンスにプッシュするカスタムスキャンが必要です。このスクリプトは ADC インスタンスで実行され、Apache 設定ファイル (httpd.conf file) と最大クライアント接続数 (maxclient) パラメータをチェックして、インスタンスに脆弱性があるかどうかを判断します。スクリプトが ADM サービスと共有する情報は、ブール値の脆弱性ステータス (true または false) です。また、このスクリプトは、ローカルホスト、NSIP、管理アクセス権のあるSNIPなど、さまざまなネットワークインタフェースのmax_clientsの数の一覧をADMサービスに返します。

このスクリプトは、スケジュールされたオンデマンドスキャンが実行されるたびに実行されます。スキャンが完了すると、スクリプトは ADC インスタンスから削除されます。

CVE-2021-22956 を修復してください

CVE-2021-22956 の影響を受ける ADC インスタンスの場合、修正は 2 段階のプロセスです。GUIの「現在のCVE」>「ADCインスタンスはCVEの影響を受ける」で、手順1と2を確認できます。

CVE-2021-22927 と CVE-2021-22920 の修復手順

次の 2 つのステップがあります。

  1. 脆弱な ADC インスタンスを、修正されたリリースとビルドにアップグレードします。

  2. カスタマイズ可能な組み込み構成テンプレートを使用して、必要な構成コマンドを構成ジョブに適用します。

「Current CVES > CVE の影響を受ける ADC インスタンス」に、この 2 段階の修正プロセスについて、「アップグレードワークフローに進む」と「設定ジョブワークフローに進む」の 2 つのワークフローが表示されます。

修復ワークフロー

ステップ 1: 脆弱な ADC インスタンスをアップグレードする

脆弱なインスタンスをアップグレードするには、インスタンスを選択し、[ ワークフローのアップグレードに進む] をクリックします。アップグレードワークフローは、脆弱な ADC インスタンスが既に入力されている状態で始まります。

NetScaler ADM を使用してADCインスタンスをアップグレードする方法について詳しくは、「 ADCアップグレードジョブの作成」を参照してください。

このステップは、脆弱なすべての ADC インスタンスに対して一度に行うことができます。

ステップ 2: 設定コマンドを適用する

影響を受けるインスタンスをアップグレードしたら、 <number of> CVEの影響を受けるADCインスタンスウィンドウで、CVE-2021-2295の影響を受けるインスタンスを選択し 、「 設定ジョブのワークフローに進む」をクリックします。ワークフローには次のステップが含まれます。

  1. 構成をカスタマイズします。
  2. 自動入力された影響を受けるインスタンスを確認する。
  3. ジョブの変数への入力を指定する。
  4. 変数入力を入力して最終構成を確認します。
  5. ジョブを実行しています。

インスタンスを選択して [ 設定ジョブのワークフローに進む] をクリックする前に、次の点に注意してください

  • 複数の CVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956 など)の影響を受ける ADC インスタンスの場合: インスタンスを選択して [設定ジョブのワークフローに進む] をクリックしても、組み込みの設定テンプレートは [設定の選択] に自動入力されません。セキュリティアドバイザリテンプレートの下にある適切な設定ジョブテンプレートを右側の設定ジョブペインに手動でドラッグアンドドロップします

  • CVE-2021-22956 の影響を受ける複数の ADC インスタンスのみ:すべてのインスタンスで一度に構成ジョブを実行できます。たとえば、ADC 1、ADC 2、ADC 3 があって、それらすべてがCVE-2021-22956の影響を受けるだけだとします。 これらのインスタンスをすべて選択して [設定ジョブのワークフローに進む] をクリックすると、組み込みの設定テンプレートが[設定の選択]に自動入力されます。 リリースノートの既知の問題であるNSADM-80913を参照してください

  • CVE-2021-22956 およびその他の 1 つ以上の CVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 など)の影響を受ける複数の ADC インスタンスで、各 ADC に修正を一度に適用する必要がある場合: これらのインスタンスを選択して [設定ジョブのワークフローに進む] をクリックすると、エラーが表示されます各 ADC で一度に構成ジョブを実行するように指示するメッセージが表示されます。

ステップ 1: 構成を選択する

設定ジョブのワークフローでは、組み込みの構成ベーステンプレートが [構成の選択]に自動的に入力されます。

構成を選択

ステップ 2: インスタンスを選択する

影響を受けるインスタンスは [インスタンスの選択]に自動的に入力されます。インスタンスを選択します。このインスタンスが HA ペアの一部である場合は、[ セカンダリノードで実行する] を選択します。[へ] をクリックします。

インスタンスを選択

クラスターモードの ADC インスタンスの場合、ADM セキュリティアドバイザリを使用すると、ADM はクラスター構成コーディネーター (CCO) ノードでのみ構成ジョブの実行をサポートします。CCO 以外のノードで個別にコマンドを実行します。

rc.netscalerはすべての HA ノードとクラスタノードで同期されるため、再起動のたびに修正が持続します。

ステップ 3: 変数値を指定する

変数値を入力します。

変数を指定してください

次のオプションのいずれかを選択して、インスタンスの変数を指定します。

すべてのインスタンスに共通の変数値:変数max_clientに共通の値を入力します 。

変数値の入力ファイルをアップロード:「 入力キーファイルをダウンロード 」をクリックして入力ファイルをダウンロードします。入力ファイルで、 変数max_clientの値を入力し、ファイルを ADM サーバーにアップロードします。このオプションの問題については、 リリースノートの既知の問題であるNSADM-80913を参照してください

上記のどちらのオプションでも、推奨max_client値は 30 です。現在の価値に応じて値を設定できます。ただし、ゼロであってはならず、 /etc/httpd.conf ファイルに設定されている max_client 以下でなければなりません。Apache HTTP サーバー設定ファイル/etc/httpd.confに設定されている現在の値は 、ADC インスタンスで文字列MaxClientsを検索することで確認できます。

ステップ 4: 構成をプレビューする

設定に挿入された変数値をプレビューし、[ 次へ] をクリックします。

ジョブのプレビュー

ステップ 5: ジョブを実行する

完了 」をクリックして構成ジョブを実行します。

構成ジョブの実行

ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。

すべての脆弱なADCに対して2つの修復手順を完了したら、オンデマンドスキャンを実行して修正されたセキュリティ体制を確認できます。

CVE-2021-22956 の脆弱性の特定と修正