-
-
-
-
-
CVE-2021-22956 の脆弱性の特定と修正
-
-
This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
CVE-2021-22956 の脆弱性の特定と修正
NetScaler ADMセキュリティアドバイザリダッシュボードの「現在のCVE」>「<number of>ADCインスタンスは一般的な脆弱性と露出(CVE)の影響を受ける(CVE)」で、この特定のCVEによって脆弱なすべてのインスタンスを確認できます。CVE-2021-22956 の影響を受けるインスタンスの詳細を確認するには、CVE-2021-22956 を選択し、「 影響を受けるインスタンスを表示」をクリックします。
<number of>CVEの影響を受けるADCインスタンスウィンドウが表示されます。ここでは、CVE-2021-22956 の影響を受ける ADC インスタンスの数と詳細を確認できます。
セキュリティアドバイザリダッシュボードの詳細については、「 セキュリティアドバイザリ」を参照してください。
注
セキュリティアドバイザリシステムスキャンが終了し、CVE-2021-22956 の影響をセキュリティアドバイザリモジュールに反映するまでには、しばらく時間がかかる場合があります。影響をすぐに確認するには、「 今すぐスキャン」をクリックしてオンデマンドスキャンを開始します。
CVE-2021-22956 の影響を受けるインスタンスを特定してください
CVE-2021-22956 では、ADM サービスがマネージド ADC インスタンスに接続し、スクリプトをインスタンスにプッシュするカスタムスキャンが必要です。このスクリプトは ADC インスタンスで実行され、Apache 設定ファイル (httpd.conf file) と最大クライアント接続数 (maxclient) パラメータをチェックして、インスタンスに脆弱性があるかどうかを判断します。スクリプトが ADM サービスと共有する情報は、ブール値の脆弱性ステータス (true または false) です。また、このスクリプトは、ローカルホスト、NSIP、管理アクセス権のあるSNIPなど、さまざまなネットワークインタフェースのmax_clientsの数の一覧をADMサービスに返します。
このスクリプトは、スケジュールされたオンデマンドスキャンが実行されるたびに実行されます。スキャンが完了すると、スクリプトは ADC インスタンスから削除されます。
CVE-2021-22956 を修復してください
CVE-2021-22956 の影響を受ける ADC インスタンスの場合、修正は 2 段階のプロセスです。GUIの「現在のCVE」>「ADCインスタンスはCVEの影響を受ける」で、手順1と2を確認できます。
次の 2 つのステップがあります。
-
脆弱な ADC インスタンスを、修正されたリリースとビルドにアップグレードします。
-
カスタマイズ可能な組み込み構成テンプレートを使用して、必要な構成コマンドを構成ジョブに適用します。
「Current CVES > CVE の影響を受ける ADC インスタンス」に、この 2 段階の修正プロセスについて、「アップグレードワークフローに進む」と「設定ジョブワークフローに進む」の 2 つのワークフローが表示されます。
ステップ 1: 脆弱な ADC インスタンスをアップグレードする
脆弱なインスタンスをアップグレードするには、インスタンスを選択し、[ ワークフローのアップグレードに進む] をクリックします。アップグレードワークフローは、脆弱な ADC インスタンスが既に入力されている状態で始まります。
NetScaler ADM を使用してADCインスタンスをアップグレードする方法について詳しくは、「 ADCアップグレードジョブの作成」を参照してください。
注
このステップは、脆弱なすべての ADC インスタンスに対して一度に行うことができます。
ステップ 2: 設定コマンドを適用する
影響を受けるインスタンスをアップグレードしたら、 <number of> CVEの影響を受けるADCインスタンスウィンドウで、CVE-2021-2295の影響を受けるインスタンスを選択し 、「 設定ジョブのワークフローに進む」をクリックします。ワークフローには次のステップが含まれます。
- 構成をカスタマイズします。
- 自動入力された影響を受けるインスタンスを確認する。
- ジョブの変数への入力を指定する。
- 変数入力を入力して最終構成を確認します。
- ジョブを実行しています。
インスタンスを選択して [ 設定ジョブのワークフローに進む] をクリックする前に、次の点に注意してください。
-
複数の CVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956 など)の影響を受ける ADC インスタンスの場合: インスタンスを選択して [設定ジョブのワークフローに進む] をクリックしても、組み込みの設定テンプレートは [設定の選択] に自動入力されません。セキュリティアドバイザリテンプレートの下にある適切な設定ジョブテンプレートを右側の設定ジョブペインに手動でドラッグアンドドロップします 。
-
CVE-2021-22956 の影響を受ける複数の ADC インスタンスのみ:すべてのインスタンスで一度に構成ジョブを実行できます。たとえば、ADC 1、ADC 2、ADC 3 があって、それらすべてがCVE-2021-22956の影響を受けるだけだとします。 これらのインスタンスをすべて選択して [設定ジョブのワークフローに進む] をクリックすると、組み込みの設定テンプレートが[設定の選択]に自動入力されます。 リリースノートの既知の問題であるNSADM-80913を参照してください。
-
CVE-2021-22956 およびその他の 1 つ以上の CVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 など)の影響を受ける複数の ADC インスタンスで、各 ADC に修正を一度に適用する必要がある場合: これらのインスタンスを選択して [設定ジョブのワークフローに進む] をクリックすると、エラーが表示されます各 ADC で一度に構成ジョブを実行するように指示するメッセージが表示されます。
ステップ 1: 構成を選択する
設定ジョブのワークフローでは、組み込みの構成ベーステンプレートが [構成の選択]に自動的に入力されます。
ステップ 2: インスタンスを選択する
影響を受けるインスタンスは [インスタンスの選択]に自動的に入力されます。インスタンスを選択します。このインスタンスが HA ペアの一部である場合は、[ セカンダリノードで実行する] を選択します。[次へ] をクリックします。
注
クラスターモードの ADC インスタンスの場合、ADM セキュリティアドバイザリを使用すると、ADM はクラスター構成コーディネーター (CCO) ノードでのみ構成ジョブの実行をサポートします。CCO 以外のノードで個別にコマンドを実行します。
rc.netscalerはすべての HA ノードとクラスタノードで同期されるため、再起動のたびに修正が持続します。
ステップ 3: 変数値を指定する
変数値を入力します。
次のオプションのいずれかを選択して、インスタンスの変数を指定します。
すべてのインスタンスに共通の変数値:変数max_clientに共通の値を入力します 。
変数値の入力ファイルをアップロード:「 入力キーファイルをダウンロード 」をクリックして入力ファイルをダウンロードします。入力ファイルで、 変数max_clientの値を入力し、ファイルを ADM サーバーにアップロードします。このオプションの問題については、 リリースノートの既知の問題であるNSADM-80913を参照してください 。
注
上記のどちらのオプションでも、推奨
max_client値は 30 です。現在の価値に応じて値を設定できます。ただし、ゼロであってはならず、/etc/httpd.confファイルに設定されている max_client 以下でなければなりません。Apache HTTP サーバー設定ファイル/etc/httpd.confに設定されている現在の値は 、ADC インスタンスで文字列MaxClientsを検索することで確認できます。
ステップ 4: 構成をプレビューする
設定に挿入された変数値をプレビューし、[ 次へ] をクリックします。
ステップ 5: ジョブを実行する
「 完了 」をクリックして構成ジョブを実行します。
ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。
すべての脆弱なADCに対して2つの修復手順を完了したら、オンデマンドスキャンを実行して修正されたセキュリティ体制を確認できます。
共有
共有
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.