NetScaler コンソールサービス

CVE-2021-22927 と CVE-2021-22920 の脆弱性の修正

NetScaler Consoleのセキュリティアドバイザリダッシュボードの「 現在の脆弱性」> <number of>「 NetScalerインスタンスはCVEの影響を受けている」の下に、CVE-2021-22927およびCVE-2021-22920により脆弱なすべてのインスタンスが表示されます。これら 2 つの CVE の影響を受けるインスタンスの詳細を確認するには、1 つ以上の CVE を選択し、「 影響を受けるインスタンスを表示」をクリックします。

CVE-2021-22927 と CVE-2021-22920 のセキュリティアドバイザリダッシュボード

セキュリティアドバイザリシステムのスキャンが終了し、CVE-2021-22927 と CVE-2021-22920 の影響をセキュリティアドバイザリモジュールに反映させるには、数時間かかる場合があります。影響をより早く確認するには、[ Scan-Now] をクリックしてオンデマンドスキャンを開始します。 セキュリティアドバイザリダッシュボードの詳細については、「 セキュリティアドバイザリ」を参照してください。

「 CVEの<number of>影響を受けるNetScalerインスタンス 」ウィンドウが表示されます。次の画面キャプチャでは、CVE-2021-22927およびCVE-2021-22920の影響を受けたNetScalerインスタンスの数と詳細を確認できます。

CVE-2020-8300 の影響を受けるインスタンス

CVE-2021-22927 と CVE-2021-22920 を修復してください

CVE-2021-22927およびCVE-2021-22920の影響を受けたNetScalerインスタンスの場合、修復は2段階のプロセスです。GUIの[ 現在のCVE]>[NetScalerインスタンスはCVEの影響を受ける]で、手順1と2を確認できます。

CVE-2021-22927 と CVE-2021-22920 の修復手順

次の 2 つのステップがあります。

  1. 脆弱なNetScalerインスタンスを、修正されたリリースおよびビルドにアップグレードします。
  2. カスタマイズ可能な組み込み構成テンプレートを使用して、必要な構成コマンドを構成ジョブに適用します。脆弱なNetScalerごとにこの手順を1つずつ実行し、そのNetScalerのすべてのSAMLアクションを含めてください。

CVE-2020-8300のNetScalerインスタンスですでに構成ジョブを実行している場合は、手順2をスキップしてください。

現在のCVEs」>「CVEの影響を受けるNetScalerインスタンス」には、この2段階の修正プロセスの2つのワークフローが表示されます。「 アップグレードワークフローに進む」と「構成ジョブに進む 」ワークフローです。

修復ワークフロー

ステップ1: 脆弱なNetScalerインスタンスをアップグレードする

脆弱なインスタンスをアップグレードするには、インスタンスを選択し、[ ワークフローのアップグレードに進む] をクリックします。アップグレードワークフローは、脆弱なNetScalerインスタンスがすでに入力されている状態で開きます。

修復ステップ 1

NetScaler Consolerコンソールを使用してNetScalerインスタンスをアップグレードする方法について詳しくは、「 NetScalerアップグレードジョブの作成」を参照してください。

この手順は、脆弱なすべてのNetScalerインスタンスに対して一度に行うことができます。

CVE-2021-22920およびCVE-2021-22927の影響を受けやすいすべてのNetScalerインスタンスについて手順1を完了したら、オンデマンドスキャンを実行します。「 現在のCVE」で更新されたセキュリティ体制を確認すると、NetScalerインスタンスがこれらのCVEに対してまだ脆弱であるかどうかがわかります 。新しい姿勢から、構成ジョブを実行する必要があるかどうかも確認できます。 CVE-2020-8300のNetScalerインスタンスに適切な構成ジョブをすでに適用していて、NetScalerインスタンスをアップグレードした場合、オンデマンドスキャンを実行した後、インスタンスがCVE-2020-8300、CVE-2021-22920、およびCVE-2021-22927に対して脆弱であるとは表示されなくなりました。

ステップ 2: 設定コマンドを適用する

影響を受けるインスタンスをアップグレードしたら、 <number of> CVEの影響を受けるNetScalerインスタンスウィンドウで、CVE-2021-22927およびCVE-2021-22920の影響を受けるインスタンスを1つ選択し 、「構成ジョブワークフローに進む」をクリックします。ワークフローには次のステップが含まれます。

  1. 構成をカスタマイズします。
  2. 自動入力された影響を受けるインスタンスを確認する。
  3. ジョブの変数への入力を指定する。
  4. 変数入力を入力して最終構成を確認します。
  5. ジョブを実行しています。

インスタンスを選択して [ 設定ジョブのワークフローに進む] をクリックする前に、次の点に注意してください

  • 複数のCVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956など)の影響を受けるNetScalerインスタンスの場合:インスタンスを選択して [構成ジョブのワークフローに進む] をクリックすると、組み込み構成テンプレートが [構成の選択] に自動入力されません。 セキュリティアドバイザリテンプレートの下にある適切な設定ジョブテンプレートを右側の設定ジョブペインに手動でドラッグアンドドロップします

  • CVE-2021-22956の影響を受ける複数のNetScalerインスタンスのみ:すべてのインスタンスで構成ジョブを一度に実行できます。たとえば、NetScaler 1、NetScaler 2、NetScaler 3があり、それらはすべてCVE-2021-22956の影響をのみ受けているとします。 これらのインスタンスをすべて選択して [設定ジョブのワークフローに進む] をクリックすると、組み込みの設定テンプレートが[設定の選択]に自動入力されます。 リリースノートの既知の問題であるNSADM-80913を参照してください

  • CVE-2021-22956および1つ以上のその他のCVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920など)の影響を受けた複数のNetScalerインスタンスでは、一度に各NetScalerに修復を適用する必要があります。これらのインスタンスを選択して [構成ジョブワークフローに進む] をクリックすると、各NetScalerで構成ジョブを実行するように指示するエラーメッセージが表示されます。一度に。

ステップ 1: 構成を選択する

設定ジョブのワークフローでは、組み込みの構成ベーステンプレートが [構成の選択]に自動的に入力されます。

構成を選択

構成コマンドを適用するためにステップ2で選択したNetScalerインスタンスがCVE-2021-22927、CVE-2021-22920、およびCVE-2020-8300の影響を受けやすい場合、CVE-2020-8300の基本テンプレートが自動的に入力されます。CVE-2020-8300テンプレートは、3つのCVEすべてに必要な設定コマンドのスーパーセットです。NetScalerインスタンスの展開と要件に応じて、この基本テンプレートをカスタマイズします。

影響を受けるNetScalerインスタンスごとに個別の構成ジョブを1つずつ実行し、そのNetScalerのすべてのSAMLアクションを含める必要があります。たとえば、それぞれ2つのSAMLアクションを持つ脆弱なNetScalerインスタンスが2つある場合、この構成ジョブを2回実行する必要があります。NetScalerごとに1回、すべてのSAMLアクションをカバーします。

NetScaler 1 NetScaler 2
ジョブ 1:2 つの SAML アクション ジョブ 2:2 つの SAML アクション

ジョブに名前を付け、次の仕様に合わせてテンプレートをカスタマイズします。組み込みの構成テンプレートは、単なるアウトラインまたは基本テンプレートです。次の要件に合わせて、デプロイメントに基づいてテンプレートをカスタマイズします。

a.SAML アクションとそれに関連するドメイン

導入環境内の SAML アクションの数に応じて、1 ~ 3 行目を複製し、各 SAML アクションのドメインをカスタマイズする必要があります。

SAML アクションをカスタマイズ

たとえば、2 つの SAML アクションがある場合、1 ~ 3 行目を 2 回繰り返し、それに応じて各 SAML アクションの変数定義をカスタマイズします。

また、SAML アクションに N 個のドメインがある場合は、行bind patset $saml_action_patset$ “$saml_action_domain1$”を複数回手動で入力して、その SAML アクションに対して行が N 回表示されるようにする必要があります。そして、次の変数定義名を変更してください。

  • saml_action_patset: は設定テンプレート変数で、SAML アクションのパターンセット (patset) の名前の値を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。

  • saml_action_domain1: は設定テンプレート変数で、その特定の SAML アクションのドメイン名を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。

デバイスのすべての SAML アクションを検索するには、コマンドshow samlactionを実行します。

SAML アクションを検索

ステップ 2: インスタンスを選択する

影響を受けるインスタンスは [インスタンスの選択]に自動的に入力されます。インスタンスを選択して [ 次へ] をクリックします。

インスタンスを選択

ステップ 3: 変数値を指定する

変数値を入力します。

  • saml_action_patset: SAML アクションの名前を追加
  • saml_action_domain1: ドメインを次の形式で入力します https://<example1.com>/
  • saml_action_name: ジョブを設定している SAML アクションと同じものを入力します

変数を指定してください

ステップ 4: 構成をプレビューする

設定に挿入された変数値をプレビューし、[ 次へ] をクリックします。

ジョブのプレビュー

ステップ 5: ジョブを実行する

完了 」をクリックして構成ジョブを実行します。

構成ジョブの実行

ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。

すべての脆弱なNetScalerインスタンスに対して2つの修正手順を完了したら、オンデマンドスキャンを実行して修正されたセキュリティ状態を確認できます。

シナリオ

このシナリオでは、2つのNetScalerインスタンスがCVE-2021-22920の脆弱性があるため、すべてのインスタンスを修正する必要があります。次の手順を実行します:

  1. このドキュメントの「インスタンスのアップグレード」セクションに記載されている手順に従って、3つのNetScalerインスタンスをすべてアップグレードします。

  2. 構成ジョブのワークフローを使用して、構成パッチを一度に1つのNetScalerに適用します。このドキュメントの「設定コマンドの適用」セクションに記載されている手順を参照してください。

脆弱なNetScaler 1には、次の2つのSAMLアクションがあります。

  • SAML アクション 1 には 1 つのドメインがあります
  • SAML アクション 2 には 2 つのドメインがあります

設定ジョブのワークフローを開始する

NetScaler 1を選択し、「 構成ジョブのワークフローに進む」をクリックします。ビルトインの基本テンプレートは自動的に入力されます。次に、ジョブ名を指定し、指定された構成に従ってテンプレートをカスタマイズします。

特定のシナリオに合わせてテンプレートをカスタマイズ

次の表は、カスタマイズされたパラメータの変数定義を示しています。

テーブル。SAML アクションの変数定義

NetScaler 構成 patset の変数定義 SAML アクション名の変数定義 ドメインの変数定義
SAML アクション 1 には 1 つのドメインがあります saml_action_patset1 saml_action_name1 saml_action_domain1
SAML アクション 2 には 2 つのドメインがあります saml_action_patset2 saml_action_name2 saml_action_domain2、saml_action_domain3

[インスタンスの選択] で[NetScaler 1] を選択し、[へ] をクリックします。[変数値の指定 ] ウィンドウが表示されます。このステップでは、前のステップで定義したすべての変数の値を指定する必要があります。

可変シナリオを指定

次に、変数を確認します。

変数シナリオを確認

[ 次へ ] をクリックし、[ 完了 ] をクリックしてジョブを実行します。

ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。

NetScaler 1の2つの修正手順を完了したら、同じ手順に従ってNetScaler 2とNetScaler 3を修正します。修正が完了したら、オンデマンドスキャンを実行して、修正されたセキュリティ体制を確認できます。

CVE-2021-22927 と CVE-2021-22920 の脆弱性の修正