NetScaler コンソールサービス

CVE-2021-22956 の脆弱性の特定と修正

NetScaler Consoleのセキュリティアドバイザリダッシュボードの[現在のCVE]>[<number of>NetScalerインスタンスは一般的な脆弱性と暴露(CVE)の影響を受けている]で、この特定のCVEにより脆弱なすべてのインスタンスを確認できます。CVE-2021-22956 の影響を受けるインスタンスの詳細を確認するには、CVE-2021-22956 を選択し、「 影響を受けるインスタンスを表示」をクリックします。

CVE-2021-22927 と CVE-2021-22920 のセキュリティアドバイザリダッシュボード

CVEの<number of>影響を受けるNetScalerインスタンスウィンドウが表示されます。ここには、CVE-2021-22956の影響を受けたNetScalerインスタンスの数と詳細が表示されます。

CVE-2020-8300 の影響を受けるインスタンス

セキュリティアドバイザリダッシュボードの詳細については、「 セキュリティアドバイザリ」を参照してください。

セキュリティアドバイザリシステムスキャンが終了し、CVE-2021-22956 の影響をセキュリティアドバイザリモジュールに反映するまでには、しばらく時間がかかる場合があります。影響をより早く確認するには、[ Scan-Now] をクリックしてオンデマンドスキャンを開始します。

CVE-2021-22956 の影響を受けるインスタンスを特定してください

CVE-2021-22956にはカスタムスキャンが必要です。このスキャンでは、NetScalerコンソールが管理対象のNetScalerインスタンスに接続し、スクリプトをインスタンスにプッシュします。スクリプトはNetScalerインスタンス上で実行され、Apache構成ファイル()と最大クライアント接続数maxclienthttpd.conf file)パラメーターをチェックして、インスタンスが脆弱であるかどうかを判断します。スクリプトがNetScaler Consoleと共有する情報は、ブール値(真または偽)の脆弱性ステータスです。また、このスクリプトは、ローカルホスト、NSIP、管理アクセス権のあるSNIPなど、さまざまなネットワークインターフェイスのmax_clients数のリストをNetScaler Consoleに返します。このリストの詳細なレポートは、 セキュリティアドバイザリページの [ スキャンログ ] タブからダウンロードできる CSV ファイルで確認できます。

このスクリプトは、スケジュールされたオンデマンドスキャンが実行されるたびに実行されます。スキャンが完了すると、スクリプトはNetScalerインスタンスから削除されます。

CVE-2021-22956 を修復してください

CVE-2021-22956の影響を受けるNetScalerインスタンスの場合、修復は2段階のプロセスです。GUIの[現在のCVE]>[NetScalerインスタンスはCVEの影響を受ける]で、手順1と2を確認できます。

CVE-2021-22927 と CVE-2021-22920 の修復手順

次の 2 つのステップがあります。

  1. 脆弱なNetScalerインスタンスを、修正されたリリースおよびビルドにアップグレードします。

  2. カスタマイズ可能な組み込み構成テンプレートを使用して、必要な構成コマンドを構成ジョブに適用します。

「現在のCVEs」>「CVEの影響を受けるNetScalerインスタンス」には、この2段階の修正プロセスの2つのワークフローが表示されます。「アップグレードワークフローに進む」と「構成ジョブに進む」ワークフローです。

修復ワークフロー

ステップ1: 脆弱なNetScalerインスタンスをアップグレードする

脆弱なインスタンスをアップグレードするには、インスタンスを選択し、[ ワークフローのアップグレードに進む] をクリックします。アップグレードワークフローは、脆弱なNetScalerインスタンスがすでに入力されている状態で開きます。

NetScaler Consolerコンソールを使用してNetScalerインスタンスをアップグレードする方法について詳しくは、「 NetScalerアップグレードジョブの作成」を参照してください。

この手順は、脆弱なすべてのNetScalerインスタンスに対して一度に行うことができます。

ステップ 2: 設定コマンドを適用する

影響を受けるインスタンスをアップグレードしたら、 <number of> CVEの影響を受けるNetScalerインスタンスウィンドウで、CVE-2021-22956の影響を受けるインスタンスを選択し 、「構成ジョブワークフローに進む」をクリックします。ワークフローには次のステップが含まれます。

  1. 構成をカスタマイズします。
  2. 自動入力された影響を受けるインスタンスを確認する。
  3. ジョブの変数への入力を指定する。
  4. 変数入力を入力して最終構成を確認します。
  5. ジョブを実行しています。

インスタンスを選択して [ 設定ジョブのワークフローに進む] をクリックする前に、次の点に注意してください

  • 複数のCVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956など)の影響を受けるNetScalerインスタンスの場合:インスタンスを選択して [構成ジョブのワークフローに進む] をクリックすると、組み込み構成テンプレートが [構成の選択] に自動入力されません。 セキュリティアドバイザリテンプレートの下にある適切な設定ジョブテンプレートを右側の設定ジョブペインに手動でドラッグアンドドロップします

  • CVE-2021-22956の影響を受ける複数のNetScalerインスタンスのみ:すべてのインスタンスで構成ジョブを一度に実行できます。たとえば、NetScaler 1、NetScaler 2、NetScaler 3があり、それらはすべてCVE-2021-22956の影響をのみ受けているとします。 これらのインスタンスをすべて選択して [設定ジョブのワークフローに進む] をクリックすると、組み込みの設定テンプレートが[設定の選択]に自動入力されます。 リリースノートの既知の問題であるNSADM-80913を参照してください

  • CVE-2021-22956および1つ以上のその他のCVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920など)の影響を受けた複数のNetScalerインスタンスでは、一度に各NetScalerに修復を適用する必要があります。これらのインスタンスを選択して [構成ジョブワークフローに進む] をクリックすると、各NetScalerで構成ジョブを実行するように指示するエラーメッセージが表示されます。一度に。

ステップ 1: 構成を選択する

設定ジョブのワークフローでは、組み込みの構成ベーステンプレートが [構成の選択]に自動的に入力されます。

構成を選択

ステップ 2: インスタンスを選択する

影響を受けるインスタンスは [インスタンスの選択]に自動的に入力されます。インスタンスを選択します。このインスタンスが HA ペアの一部である場合は、[ セカンダリノードで実行する] を選択します。[へ] をクリックします。

インスタンスを選択

クラスターモードのNetScalerインスタンスの場合、セキュリティアドバイザリを使用すると、NetScaler Consoleはクラスター構成コーディネーター(CCO)ノードでのみ構成ジョブの実行をサポートします。CCO 以外のノードで個別にコマンドを実行します。

rc.netscalerはすべての HA ノードとクラスタノードで同期されるため、再起動のたびに修正が持続します。

ステップ 3: 変数値を指定する

変数値を入力します。

変数を指定してください

次のオプションのいずれかを選択して、インスタンスの変数を指定します。

すべてのインスタンスに共通の変数値:変数max_clientに共通の値を入力します 。

変数値の入力ファイルをアップロード:「 入力キーファイルをダウンロード 」をクリックして入力ファイルをダウンロードします。 入力ファイルに変数max_clientの値を入力し、そのファイルをNetScaler Consoleサーバーにアップロードします。このオプションの問題については、 リリースノートの既知の問題であるNSADM-80913を参照してください

上記のどちらのオプションでも、推奨max_client値は 30 です。現在の価値に応じて値を設定できます。ただし、ゼロであってはならず、 /etc/httpd.conf ファイルに設定されている max_client 以下でなければなりません。Apache HTTP Server構成ファイル/etc/httpd.confに設定されている現在値は 、 NetScalerインスタンスで文字列MaxClientsを検索することで確認できます。

ステップ 4: 構成をプレビューする

設定に挿入された変数値をプレビューし、[ 次へ] をクリックします。

ジョブのプレビュー

ステップ 5: ジョブを実行する

完了 」をクリックして構成ジョブを実行します。

構成ジョブの実行

ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。

すべての脆弱なNetScalerインスタンスに対して2つの修正手順を完了したら、オンデマンドスキャンを実行して修正されたセキュリティ状態を確認できます。

CVE-2021-22956 の脆弱性の特定と修正