NetScaler コンソールサービス

CVE-2020-8300の脆弱性の修正

NetScaler Consoleのセキュリティアドバイザリダッシュボードの[ 現在のCVE]> <number of>[ NetScalerインスタンスはCVEの影響を受けている]の下に、この特定のCVEにより脆弱なすべてのインスタンスが表示されます。CVE-2020-8300 の影響を受けるインスタンスの詳細を確認するには、 CVE-2020-8300 を選択し、「 影響を受けるインスタンスを表示」をクリックします。

CVE-2020-8300 用セキュリティアドバイザリーダッシュボード

セキュリティアドバイザリダッシュボードの詳細については、「 セキュリティアドバイザリ」を参照してください。

「 CVEの<number of>影響を受けるNetScalerインスタンス 」ウィンドウが表示されます。ここには、CVE-2020-8300の影響を受けたNetScalerインスタンスの数と詳細が表示されます。

CVE-2020-8300 の影響を受けるインスタンス

CVE-2020-8300を修復してください

CVE-2020-8300の影響を受けたNetScalerインスタンスの場合、修復は2段階のプロセスです。GUIの[ 現在のCVE]>[NetScalerインスタンスはCVEの影響を受ける]で、手順1と2を確認できます。

修復手順

次の 2 つのステップがあります。

  1. 脆弱なNetScalerインスタンスを、修正されたリリースおよびビルドにアップグレードします。
  2. カスタマイズ可能な組み込み構成テンプレートを使用して、必要な構成コマンドを構成ジョブに適用します。脆弱なNetScalerごとにこの手順を1つずつ実行し、そのNetScalerのすべてのSAMLアクションとSAMLプロファイルを含めてください。

現在のCVEs」>「CVEの影響を受けるNetScalerインスタンス」には、この2段階の修正プロセスの2つのワークフローが表示されます。「 アップグレードワークフローに進む」と「構成ジョブに進む 」ワークフローです。

修復ワークフロー

ステップ1: 脆弱なNetScalerインスタンスをアップグレードする

脆弱なインスタンスをアップグレードするには、インスタンスを選択し、[ ワークフローのアップグレードに進む] をクリックします。アップグレードワークフローは、脆弱なNetScalerインスタンスがすでに入力されている状態で開きます。

修復ステップ 1

NetScaler Consolerコンソールを使用してNetScalerインスタンスをアップグレードする方法について詳しくは、「 NetScalerアップグレードジョブの作成」を参照してください。

この手順は、脆弱なすべてのNetScalerインスタンスに対して一度に行うことができます。

ステップ 2: 設定コマンドを適用する

影響を受けるインスタンスをアップグレードしたら、 <number of> CVEの影響を受けるNetScalerインスタンスウィンドウで、CVE-2020-8300の影響を受けるインスタンスを1つ選択し 、「構成ジョブワークフローに進む」をクリックします。ワークフローには次のステップが含まれます。

  1. 構成をカスタマイズします。
  2. 自動入力された影響を受けるインスタンスを確認する。
  3. ジョブの変数への入力を指定する。
  4. 変数入力を入力して最終構成を確認します。
  5. ジョブを実行しています。

インスタンスを選択して [ 設定ジョブのワークフローに進む] をクリックする前に、次の点に注意してください

  • 複数のCVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956など)の影響を受けるNetScalerインスタンスの場合:インスタンスを選択して [構成ジョブのワークフローに進む] をクリックすると、組み込み構成テンプレートが [構成の選択] に自動入力されません。 セキュリティアドバイザリテンプレートの下にある適切な設定ジョブテンプレートを右側の設定ジョブペインに手動でドラッグアンドドロップします

  • CVE-2021-22956の影響を受ける複数のNetScalerインスタンスのみ:すべてのインスタンスで構成ジョブを一度に実行できます。たとえば、NetScaler 1、NetScaler 2、NetScaler 3があり、それらはすべてCVE-2021-22956の影響をのみ受けているとします。 これらのインスタンスをすべて選択して [設定ジョブのワークフローに進む] をクリックすると、組み込みの設定テンプレートが[設定の選択]に自動入力されます。 リリースノートの既知の問題であるNSADM-80913を参照してください

  • CVE-2021-22956および1つ以上のその他のCVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920など)の影響を受けた複数のNetScalerインスタンスでは、一度に各NetScalerに修復を適用する必要があります。これらのインスタンスを選択して [構成ジョブワークフローに進む] をクリックすると、各NetScalerで構成ジョブを実行するように指示するエラーメッセージが表示されます。一度に。

ステップ 1: 構成を選択する

設定ジョブのワークフローでは、組み込みの構成テンプレートが [構成の選択]に自動入力されます。

構成を選択

影響を受けるNetScalerインスタンスごとに個別の構成ジョブを1つずつ実行し、そのNetScalerのすべてのSAMLアクションとSAMLプロファイルを含めます。たとえば、それぞれが2つのSAMLアクションと2つのSAMLプロファイルを持つ2つの脆弱なNetScalerインスタンスがある場合、この構成ジョブを2回実行する必要があります。NetScalerごとに1回、すべてのSAMLアクションとSAMLプロファイルをカバーします。

NetScaler 1 NetScaler 2
ジョブ 1:2 つの SAML アクション +2 つの SAML プロファイル ジョブ 2:2 つの SAML アクション +2 つの SAML プロファイル

ジョブに名前を付け、次の仕様に合わせてテンプレートをカスタマイズします。組み込みの構成テンプレートは、単なるアウトラインまたは基本テンプレートです。次の要件に合わせて、デプロイメントに基づいてテンプレートをカスタマイズします。

a.SAML アクションとそれに関連するドメイン

導入環境内の SAML アクションの数に応じて、1 ~ 3 行目を複製し、各 SAML アクションのドメインをカスタマイズする必要があります。

SAML アクションをカスタマイズ

たとえば、2 つの SAML アクションがある場合、1 ~ 3 行目を 2 回繰り返し、それに応じて各 SAML アクションの変数定義をカスタマイズします。

また、SAML アクションに N 個のドメインがある場合は、行bind patset $saml_action_patset$ “$saml_action_domain1$”を複数回手動で入力して、その SAML アクションに対して行が N 回表示されるようにする必要があります。そして、次の変数定義名を変更してください。

  • saml_action_patset: は設定テンプレート変数で、SAML アクションのパターンセット (patset) の名前の値を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。

  • saml_action_domain1: は設定テンプレート変数で、その特定の SAML アクションのドメイン名を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。

デバイスのすべての SAML アクションを検索するには、コマンドshow samlactionを実行します。

SAML アクションを検索

b. SAML プロファイルとそれに関連する URL

導入環境内の SAML プロファイルの数に応じて、4 ~ 6 行目を繰り返します。各 SAML プロファイルの URL をカスタマイズします。

SAML プロファイルのカスタマイズ

たとえば、SAML プロファイルが 2 つある場合は、4 行目から 6 行目を 2 回手動で入力し、それに応じて SAML アクションごとに変数定義をカスタマイズします。

また、SAML アクションに N 個のドメインがある場合は、 行bind patset $saml_profile_patset$ “$saml_profile_url1$”を手動で複数回入力して、その SAML プロファイルでその行が N 回表示されるようにする必要があります。そして、次の変数定義名を変更してください。

  • saml_profile_patset: は設定テンプレート変数で、SAML プロファイルのパターンセット (patset) の名前の値を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」のセクションを参照してください。

  • saml_profile_url1: は設定テンプレート変数で、その特定の SAML プロファイルのドメイン名を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」のセクションを参照してください。

デバイスのすべての SAM プロファイルを検索するには、コマンドshow samlidpProfileを実行します。

SAML プロファイルを検索

ステップ 2: インスタンスを選択する

影響を受けるインスタンスは [インスタンスの選択]に自動的に入力されます。インスタンスを選択して [ 次へ] をクリックします。

インスタンスを選択

ステップ 3: 変数値を指定する

変数値を入力します。

  • saml_action_patset: SAML アクションの名前を追加
  • saml_action_domain1: ドメインを次の形式で入力します https://<example1.com>/
  • saml_action_name: ジョブを設定している SAML アクションと同じものを入力します
  • saml_profile_patset: SAML プロファイルの名前を追加します
  • saml_profile_url1: URL を入力してくださいこの形式ですか https://<example2.com>/cgi/samlauth
  • saml_profile_name: ジョブを設定している SAML プロファイルと同じものを入力します

URL の場合、拡張子は必ずしもcgi/samlauthとは限りません。それはあなたが持っている第三者の認証によって異なりますので、それに応じて拡張機能を追加する必要があります。

変数を指定してください

ステップ 4: 構成をプレビューする

設定に挿入された変数値をプレビューし、[ 次へ] をクリックします。

ステップ 5: ジョブを実行する

完了 」をクリックして構成ジョブを実行します。

構成ジョブの実行

ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。

すべての脆弱なNetScalerインスタンスに対して2つの修正手順を完了したら、オンデマンドスキャンを実行して修正されたセキュリティ状態を確認できます。

NetScaler コンソールエクスプレスアカウントの注意点

NetScaler Console Expressアカウントの機能には制限があり、2つの構成ジョブのみという制限があります。NetScalerコンソールエクスプレスアカウントについて詳しくは、「 エクスプレスアカウントを使用したNetScalerコンソールリソースの管理」を参照してください。 CVE-2020-8300を修復するには、脆弱なNetScalerインスタンスの数と同じ数の構成ジョブを実行する必要があります。そのため、Express アカウントをお持ちで、3 つ以上の構成ジョブを実行する必要がある場合は、次の回避策に従ってください。

回避策:脆弱な2つのNetScalerインスタンスに対して2つの構成ジョブを実行し、両方のジョブを削除して、次の2つの脆弱なNetScalerインスタンスで次の2つのジョブを引き続き実行します。脆弱なインスタンスをすべてカバーするまで、これを続けてください。ジョブを削除する前に、後で参照できるようにレポートをダウンロードできます。レポートをダウンロードするには、[ ネットワーク] > [ジョブ] でジョブを選択し、[ アクション ] の [ ダウンロード] をクリックします。

:脆弱なNetScalerインスタンスが6つある場合は、2つの脆弱なインスタンスでそれぞれ2つの構成ジョブを実行し、両方の構成ジョブを削除します。この手順をもう 2 回繰り返します。最後に、6つのNetScalerインスタンスに対してそれぞれ6つの構成ジョブを実行することになります。NetScaler ConsoleのUIの[ インフラストラクチャ]>[ジョブ]には、最後の2つの構成ジョブのみが表示されます。

シナリオ

このシナリオでは、3つのNetScalerインスタンスがCVE-2020-8300の脆弱性があるため、すべてのインスタンスを修正する必要があります。次の手順を実行します:

  1. このドキュメントの「インスタンスのアップグレード」セクションに記載されている手順に従って、 3つのNetScalerインスタンスをすべてアップグレードします 。

  2. 構成ジョブのワークフローを使用して、構成パッチを一度に1つのNetScalerに適用します。このドキュメントの「 設定コマンドの適用 」セクションに記載されている手順を参照してください。

脆弱なNetScaler 1の構成は以下のとおりです。

2 つの SAML アクション 2 つの SAML プロファイル
SAML アクション 1 には 1 つのドメインがあり、SAML アクション 2 には 2 つのドメインがあります SAML プロファイル 1 には 1 つの URL があり、SAML プロファイル 2 には 2 つの URL があります

設定ジョブのワークフローを開始する

NetScaler 1を選択し、「 構成ジョブのワークフローに進む」をクリックします。組み込みテンプレートは自動入力されます。次に、ジョブ名を指定し、指定された構成に従ってテンプレートをカスタマイズします。

特定のシナリオに合わせてテンプレートをカスタマイズ

次の表は、カスタマイズされたパラメータの変数定義を示しています。

表1. SAML アクションの変数定義

NetScaler 構成 patset の変数定義 SAML アクション名の変数定義 ドメインの変数定義
SAML アクション 1 には 1 つのドメインがあります saml_action_patset1 saml_action_name1 saml_action_domain1
SAML アクション 2 には 2 つのドメインがあります saml_action_patset2 saml_action_name2 saml_action_domain2、saml_action_domain3

表2. SAML プロファイルの変数定義

NetScaler 構成 patset の変数定義 SAML プロファイル名の変数定義 URL の変数定義
SAML プロファイル 1 には 1 つの URL があります saml_profile_patset1 saml_profile_name1 saml_profile_url1
SAML プロファイル 2 には 2 つの URL があります saml_profile_patset2 saml_profile_name2 saml_profile_url2、saml_profile_url3

[インスタンスの選択] で[NetScaler 1] を選択し、[へ] をクリックします。[変数値の指定 ] ウィンドウが表示されます。このステップでは、前のステップで定義したすべての変数の値を指定する必要があります。

可変シナリオを指定

次に、変数を確認します。

[ 次へ ] をクリックし、[ 完了 ] をクリックしてジョブを実行します。

ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。

NetScaler 1の2つの修正手順を完了したら、同じ手順に従ってNetScaler 2とNetScaler 3を修正します。修正が完了したら、オンデマンドスキャンを実行して、修正されたセキュリティ体制を確認できます。

CVE-2020-8300の脆弱性の修正