This content has been machine translated dynamically.
Dieser Inhalt ist eine maschinelle Übersetzung, die dynamisch erstellt wurde. (Haftungsausschluss)
Cet article a été traduit automatiquement de manière dynamique. (Clause de non responsabilité)
Este artículo lo ha traducido una máquina de forma dinámica. (Aviso legal)
此内容已经过机器动态翻译。 放弃
このコンテンツは動的に機械翻訳されています。免責事項
이 콘텐츠는 동적으로 기계 번역되었습니다. 책임 부인
Este texto foi traduzido automaticamente. (Aviso legal)
Questo contenuto è stato tradotto dinamicamente con traduzione automatica.(Esclusione di responsabilità))
This article has been machine translated.
Dieser Artikel wurde maschinell übersetzt. (Haftungsausschluss)
Ce article a été traduit automatiquement. (Clause de non responsabilité)
Este artículo ha sido traducido automáticamente. (Aviso legal)
この記事は機械翻訳されています.免責事項
이 기사는 기계 번역되었습니다.책임 부인
Este artigo foi traduzido automaticamente.(Aviso legal)
这篇文章已经过机器翻译.放弃
Questo articolo è stato tradotto automaticamente.(Esclusione di responsabilità))
Translation failed!
CVE-2020-8300の脆弱性の修正
NetScaler ADMセキュリティアドバイザリダッシュボードの「 現在のCVE」>「 <number of>
ADCインスタンスはCVEの影響を受ける」で、この特定のCVEによって脆弱なすべてのインスタンスを確認できます。CVE-2020-8300 の影響を受けるインスタンスの詳細を確認するには、 CVE-2020-8300 を選択し、「 影響を受けるインスタンスを表示」をクリックします。
注
セキュリティアドバイザリダッシュボードの詳細については、「 セキュリティアドバイザリ」を参照してください。
<number of>
CVEの影響を受けるADCインスタンスのウィンドウが表示されます 。ここでは、CVE-2020-8300の影響を受けたADCインスタンスの数と詳細を確認できます。
CVE-2020-8300を修復してください
CVE-2020-8300 の影響を受ける ADC インスタンスの場合、修正は 2 段階のプロセスです。GUIの「 現在のCVE」>「ADCインスタンスはCVEの影響を受ける」で、手順1と2を確認できます。
次の 2 つのステップがあります。
- 脆弱な ADC インスタンスを、修正されたリリースとビルドにアップグレードします。
- カスタマイズ可能な組み込み構成テンプレートを使用して、必要な構成コマンドを構成ジョブに適用します。脆弱なADCごとにこの手順を1つずつ実行し、そのADCのすべてのSAMLアクションとSAMLプロファイルを含めてください。
「 Current CVES > CVE の影響を受ける ADC インスタンス」に、この 2 段階の修正プロセスについて、「 アップグレードワークフローに進む」と「設定ジョブワークフローに進む」の 2 つのワークフローが表示されます。
ステップ 1: 脆弱な ADC インスタンスをアップグレードする
脆弱なインスタンスをアップグレードするには、インスタンスを選択し、[ ワークフローのアップグレードに進む] をクリックします。アップグレードワークフローは、脆弱な ADC インスタンスが既に入力されている状態で始まります。
NetScaler ADM を使用してADCインスタンスをアップグレードする方法について詳しくは、「 ADCアップグレードジョブの作成」を参照してください。
注
このステップは、脆弱なすべての ADC インスタンスに対して一度に行うことができます。
ステップ 2: 設定コマンドを適用する
影響を受けるインスタンスをアップグレードしたら、 <number of
> CVEの影響を受けるADCインスタンスウィンドウで、CVE-2020-8300の影響を受けるインスタンスを1つ選択し 、「 設定ジョブのワークフローに進む」をクリックします。ワークフローには次のステップが含まれます。
- 構成をカスタマイズします。
- 自動入力された影響を受けるインスタンスを確認する。
- ジョブの変数への入力を指定する。
- 変数入力を入力して最終構成を確認します。
- ジョブを実行しています。
インスタンスを選択して [ 設定ジョブのワークフローに進む] をクリックする前に、次の点に注意してください。
-
複数の CVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956 など)の影響を受ける ADC インスタンスの場合: インスタンスを選択して [設定ジョブのワークフローに進む] をクリックしても、組み込みの設定テンプレートは [設定の選択] に自動入力されません。セキュリティアドバイザリテンプレートの下にある適切な設定ジョブテンプレートを右側の設定ジョブペインに手動でドラッグアンドドロップします 。
-
CVE-2021-22956 の影響を受ける複数の ADC インスタンスのみ:すべてのインスタンスで一度に構成ジョブを実行できます。たとえば、ADC 1、ADC 2、ADC 3 があって、それらすべてがCVE-2021-22956の影響を受けるだけだとします。 これらのインスタンスをすべて選択して [設定ジョブのワークフローに進む] をクリックすると、組み込みの設定テンプレートが[設定の選択]に自動入力されます。
-
CVE-2021-22956 およびその他の 1 つ以上の CVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 など)の影響を受ける複数の ADC インスタンスで、各 ADC に修正を一度に適用する必要がある場合: これらのインスタンスを選択して [設定ジョブのワークフローに進む] をクリックすると、エラーが表示されます各 ADC で一度に構成ジョブを実行するように指示するメッセージが表示されます。
ステップ 1: 構成を選択する
設定ジョブのワークフローでは、組み込みの構成テンプレートが [構成の選択]に自動入力されます。
影響を受けるADCインスタンスごとに個別の構成ジョブを1つずつ実行し、そのADCのすべてのSAMLアクションとSAMLプロファイルを含めます。たとえば、脆弱な ADC インスタンスが 2 つあり、それぞれに 2 つの SAML アクションと 2 つの SAML プロファイルがある場合、この設定ジョブを 2 回実行する必要があります。ADC ごとに 1 回、すべての SAML アクションと SAML プロファイルをカバーします。
ADC 1 | ADC2 |
---|---|
ジョブ 1:2 つの SAML アクション +2 つの SAML プロファイル | ジョブ 2:2 つの SAML アクション +2 つの SAML プロファイル |
ジョブに名前を付け、次の仕様に合わせてテンプレートをカスタマイズします。組み込みの構成テンプレートは、単なるアウトラインまたは基本テンプレートです。次の要件に合わせて、デプロイメントに基づいてテンプレートをカスタマイズします。
a.SAML アクションとそれに関連するドメイン
導入環境内の SAML アクションの数に応じて、1 ~ 3 行目を複製し、各 SAML アクションのドメインをカスタマイズする必要があります。
たとえば、2 つの SAML アクションがある場合、1 ~ 3 行目を 2 回繰り返し、それに応じて各 SAML アクションの変数定義をカスタマイズします。
また、SAML アクションに N 個のドメインがある場合は、行bind patset $saml_action_patset$ “$saml_action_domain1$”
を複数回手動で入力して、その SAML アクションに対して行が N 回表示されるようにする必要があります。そして、次の変数定義名を変更してください。
-
saml_action_patset
: は設定テンプレート変数で、SAML アクションのパターンセット (patset) の名前の値を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。 -
saml_action_domain1
: は設定テンプレート変数で、その特定の SAML アクションのドメイン名を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。
デバイスのすべての SAML アクションを検索するには、コマンドshow samlaction
を実行します。
b. SAML プロファイルとそれに関連する URL
導入環境内の SAML プロファイルの数に応じて、4 ~ 6 行目を繰り返します。各 SAML プロファイルの URL をカスタマイズします。
たとえば、SAML プロファイルが 2 つある場合は、4 行目から 6 行目を 2 回手動で入力し、それに応じて SAML アクションごとに変数定義をカスタマイズします。
また、SAML アクションに N 個のドメインがある場合は、 行bind patset $saml_profile_patset$ “$saml_profile_url1$”
を手動で複数回入力して、その SAML プロファイルでその行が N 回表示されるようにする必要があります。そして、次の変数定義名を変更してください。
-
saml_profile_patset
: は設定テンプレート変数で、SAML プロファイルのパターンセット (patset) の名前の値を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」のセクションを参照してください。 -
saml_profile_url1
: は設定テンプレート変数で、その特定の SAML プロファイルのドメイン名を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」のセクションを参照してください。
デバイスのすべての SAM プロファイルを検索するには、コマンドshow samlidpProfile
を実行します。
ステップ 2: インスタンスを選択する
影響を受けるインスタンスは [インスタンスの選択]に自動的に入力されます。インスタンスを選択して [ 次へ] をクリックします。
ステップ 3: 変数値を指定する
変数値を入力します。
-
saml_action_patset
: SAML アクションの名前を追加 -
saml_action_domain1
: ドメインを次の形式で入力しますhttps://<example1.com>/
-
saml_action_name
: ジョブを設定している SAML アクションと同じものを入力します -
saml_profile_patset
: SAML プロファイルの名前を追加します -
saml_profile_url1
: URL を入力してくださいこの形式ですかhttps://<example2.com>/cgi/samlauth
-
saml_profile_name
: ジョブを設定している SAML プロファイルと同じものを入力します
注
URL の場合、拡張子は必ずしも
cgi/samlauth
とは限りません。それはあなたが持っている第三者の認証によって異なりますので、それに応じて拡張機能を追加する必要があります。
ステップ 4: 構成をプレビューする
設定に挿入された変数値をプレビューし、[ 次へ] をクリックします。
ステップ 5: ジョブを実行する
「 完了 」をクリックして構成ジョブを実行します。
ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。
すべての脆弱なADCに対して2つの修復手順を完了したら、オンデマンドスキャンを実行して修正されたセキュリティ体制を確認できます。
NetScaler ADM Express アカウントに関する注意点
NetScaler ADM Expressアカウントには、2つの構成ジョブのみの制限など、限られた機能しかありません。
CVE-2020-8300 の修復では、脆弱な ADC インスタンスの数と同じ数の設定ジョブを実行する必要があります。そのため、Express アカウントをお持ちで、3 つ以上の構成ジョブを実行する必要がある場合は、次の回避策に従ってください。
回避策:脆弱な 2 つの ADC インスタンスに対して 2 つの構成ジョブを実行し、次に両方のジョブを削除して、次の 2 つの脆弱な ADC インスタンスに対して次の 2 つのジョブを引き続き実行します。脆弱なインスタンスをすべてカバーするまで、これを続けてください。ジョブを削除する前に、後で参照できるようにレポートをダウンロードできます。レポートをダウンロードするには、[ ネットワーク] > [ジョブ] でジョブを選択し、[ アクション ] の [ ダウンロード] をクリックします。
例:脆弱な ADC インスタンスが 6 つある場合は、2 つの脆弱なインスタンスでそれぞれ 2 つの設定ジョブを実行し、両方の設定ジョブを削除します。この手順をもう 2 回繰り返します。最後に、6 つの ADC インスタンスに対して 6 つの設定ジョブをそれぞれ実行することになります。NetScaler ADM UIの[ インフラストラクチャ]>[ジョブ]には、最後の2つの構成ジョブのみが表示されます。
シナリオ
このシナリオでは、3 つの ADC インスタンスが CVE-2020-8300 に対して脆弱であるため、すべてのインスタンスを修正する必要があります。次の手順を実行します:
-
このドキュメントの「インスタンスのアップグレード」セクションに記載されている手順に従って、3 つの ADC インスタンスをすべてアップグレードします 。
-
コンフィグレーション・ジョブのワークフローを使用して、コンフィグレーション・パッチをADCに1つずつ適用します。このドキュメントの「 設定コマンドの適用 」セクションに記載されている手順を参照してください。
脆弱性のある ADC 1 の構成は次のとおりです。
2 つの SAML アクション | 2 つの SAML プロファイル |
---|---|
SAML アクション 1 には 1 つのドメインがあり、SAML アクション 2 には 2 つのドメインがあります | SAML プロファイル 1 には 1 つの URL があり、SAML プロファイル 2 には 2 つの URL があります |
ADC 1 を選択し、「 設定ジョブのワークフローに進む」をクリックします。組み込みテンプレートは自動入力されます。次に、ジョブ名を指定し、指定された構成に従ってテンプレートをカスタマイズします。
次の表は、カスタマイズされたパラメータの変数定義を示しています。
表1. SAML アクションの変数定義
ADC 構成 | patset の変数定義 | SAML アクション名の変数定義 | ドメインの変数定義 |
---|---|---|---|
SAML アクション 1 には 1 つのドメインがあります | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
SAML アクション 2 には 2 つのドメインがあります | saml_action_patset2 | saml_action_name2 | saml_action_domain2、saml_action_domain3 |
表2. SAML プロファイルの変数定義
ADC 構成 | patset の変数定義 | SAML プロファイル名の変数定義 | URL の変数定義 |
---|---|---|---|
SAML プロファイル 1 には 1 つの URL があります | saml_profile_patset1 | saml_profile_name1 | saml_profile_url1 |
SAML プロファイル 2 には 2 つの URL があります | saml_profile_patset2 | saml_profile_name2 | saml_profile_url2、saml_profile_url3 |
[インスタンスを選択]で [ADC 1] を選択し、[ 次へ] をクリックします。 [変数値の指定 ] ウィンドウが表示されます。このステップでは、前のステップで定義したすべての変数の値を指定する必要があります。
次に、変数を確認します。
[ 次へ ] をクリックし、[ 完了 ] をクリックしてジョブを実行します。
ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。
ADC1の2つの修復手順を完了したら、同じ手順に従ってADC 2とADC 3を修正します。修正が完了したら、オンデマンドスキャンを実行して、修正されたセキュリティ体制を確認できます。
共有
共有
この記事の概要
This Preview product documentation is Cloud Software Group Confidential.
You agree to hold this documentation confidential pursuant to the terms of your Cloud Software Group Beta/Tech Preview Agreement.
The development, release and timing of any features or functionality described in the Preview documentation remains at our sole discretion and are subject to change without notice or consultation.
The documentation is for informational purposes only and is not a commitment, promise or legal obligation to deliver any material, code or functionality and should not be relied upon in making Cloud Software Group product purchase decisions.
If you do not agree, select I DO NOT AGREE to exit.