CVE-2020-8300の脆弱性の修正
NetScaler Consoleのセキュリティアドバイザリダッシュボードの[ 現在のCVE]> <number of>[ NetScalerインスタンスはCVEの影響を受けている]の下に、この特定のCVEにより脆弱なすべてのインスタンスが表示されます。CVE-2020-8300 の影響を受けるインスタンスの詳細を確認するには、 CVE-2020-8300 を選択し、「 影響を受けるインスタンスを表示」をクリックします。
注
セキュリティアドバイザリダッシュボードの詳細については、「 セキュリティアドバイザリ」を参照してください。
「 CVEの<number of>影響を受けるNetScalerインスタンス 」ウィンドウが表示されます。ここには、CVE-2020-8300の影響を受けたNetScalerインスタンスの数と詳細が表示されます。
CVE-2020-8300を修復してください
CVE-2020-8300の影響を受けたNetScalerインスタンスの場合、修復は2段階のプロセスです。GUIの[ 現在のCVE]>[NetScalerインスタンスはCVEの影響を受ける]で、手順1と2を確認できます。
次の 2 つのステップがあります。
- 脆弱なNetScalerインスタンスを、修正されたリリースおよびビルドにアップグレードします。
- カスタマイズ可能な組み込み構成テンプレートを使用して、必要な構成コマンドを構成ジョブに適用します。脆弱なNetScalerごとにこの手順を1つずつ実行し、そのNetScalerのすべてのSAMLアクションとSAMLプロファイルを含めてください。
「 現在のCVEs」>「CVEの影響を受けるNetScalerインスタンス」には、この2段階の修正プロセスの2つのワークフローが表示されます。「 アップグレードワークフローに進む」と「構成ジョブに進む 」ワークフローです。
ステップ1: 脆弱なNetScalerインスタンスをアップグレードする
脆弱なインスタンスをアップグレードするには、インスタンスを選択し、[ ワークフローのアップグレードに進む] をクリックします。アップグレードワークフローは、脆弱なNetScalerインスタンスがすでに入力されている状態で開きます。
NetScaler Consolerコンソールを使用してNetScalerインスタンスをアップグレードする方法について詳しくは、「 NetScalerアップグレードジョブの作成」を参照してください。
注
この手順は、脆弱なすべてのNetScalerインスタンスに対して一度に行うことができます。
ステップ 2: 設定コマンドを適用する
影響を受けるインスタンスをアップグレードしたら、 <number of> CVEの影響を受けるNetScalerインスタンスウィンドウで、CVE-2020-8300の影響を受けるインスタンスを1つ選択し 、「構成ジョブワークフローに進む」をクリックします。ワークフローには次のステップが含まれます。
- 構成をカスタマイズします。
- 自動入力された影響を受けるインスタンスを確認する。
- ジョブの変数への入力を指定する。
- 変数入力を入力して最終構成を確認します。
- ジョブを実行しています。
インスタンスを選択して [ 設定ジョブのワークフローに進む] をクリックする前に、次の点に注意してください。
-
複数のCVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956など)の影響を受けるNetScalerインスタンスの場合:インスタンスを選択して [構成ジョブのワークフローに進む] をクリックすると、組み込み構成テンプレートが [構成の選択] に自動入力されません。 セキュリティアドバイザリテンプレートの下にある適切な設定ジョブテンプレートを右側の設定ジョブペインに手動でドラッグアンドドロップします 。
-
CVE-2021-22956の影響を受ける複数のNetScalerインスタンスのみ:すべてのインスタンスで構成ジョブを一度に実行できます。たとえば、NetScaler 1、NetScaler 2、NetScaler 3があり、それらはすべてCVE-2021-22956の影響をのみ受けているとします。 これらのインスタンスをすべて選択して [設定ジョブのワークフローに進む] をクリックすると、組み込みの設定テンプレートが[設定の選択]に自動入力されます。 リリースノートの既知の問題であるNSADM-80913を参照してください。
-
CVE-2021-22956および1つ以上のその他のCVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920など)の影響を受けた複数のNetScalerインスタンスでは、一度に各NetScalerに修復を適用する必要があります。これらのインスタンスを選択して [構成ジョブワークフローに進む] をクリックすると、各NetScalerで構成ジョブを実行するように指示するエラーメッセージが表示されます。一度に。
ステップ 1: 構成を選択する
設定ジョブのワークフローでは、組み込みの構成テンプレートが [構成の選択]に自動入力されます。
影響を受けるNetScalerインスタンスごとに個別の構成ジョブを1つずつ実行し、そのNetScalerのすべてのSAMLアクションとSAMLプロファイルを含めます。たとえば、それぞれが2つのSAMLアクションと2つのSAMLプロファイルを持つ2つの脆弱なNetScalerインスタンスがある場合、この構成ジョブを2回実行する必要があります。NetScalerごとに1回、すべてのSAMLアクションとSAMLプロファイルをカバーします。
| NetScaler 1 | NetScaler 2 |
|---|---|
| ジョブ 1:2 つの SAML アクション +2 つの SAML プロファイル | ジョブ 2:2 つの SAML アクション +2 つの SAML プロファイル |
ジョブに名前を付け、次の仕様に合わせてテンプレートをカスタマイズします。組み込みの構成テンプレートは、単なるアウトラインまたは基本テンプレートです。次の要件に合わせて、デプロイメントに基づいてテンプレートをカスタマイズします。
a.SAML アクションとそれに関連するドメイン
導入環境内の SAML アクションの数に応じて、1 ~ 3 行目を複製し、各 SAML アクションのドメインをカスタマイズする必要があります。
たとえば、2 つの SAML アクションがある場合、1 ~ 3 行目を 2 回繰り返し、それに応じて各 SAML アクションの変数定義をカスタマイズします。
また、SAML アクションに N 個のドメインがある場合は、行bind patset $saml_action_patset$ “$saml_action_domain1$”を複数回手動で入力して、その SAML アクションに対して行が N 回表示されるようにする必要があります。そして、次の変数定義名を変更してください。
-
saml_action_patset: は設定テンプレート変数で、SAML アクションのパターンセット (patset) の名前の値を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。 -
saml_action_domain1: は設定テンプレート変数で、その特定の SAML アクションのドメイン名を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。
デバイスのすべての SAML アクションを検索するには、コマンドshow samlactionを実行します。
b. SAML プロファイルとそれに関連する URL
導入環境内の SAML プロファイルの数に応じて、4 ~ 6 行目を繰り返します。各 SAML プロファイルの URL をカスタマイズします。
たとえば、SAML プロファイルが 2 つある場合は、4 行目から 6 行目を 2 回手動で入力し、それに応じて SAML アクションごとに変数定義をカスタマイズします。
また、SAML アクションに N 個のドメインがある場合は、 行bind patset $saml_profile_patset$ “$saml_profile_url1$”を手動で複数回入力して、その SAML プロファイルでその行が N 回表示されるようにする必要があります。そして、次の変数定義名を変更してください。
-
saml_profile_patset: は設定テンプレート変数で、SAML プロファイルのパターンセット (patset) の名前の値を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」のセクションを参照してください。 -
saml_profile_url1: は設定テンプレート変数で、その特定の SAML プロファイルのドメイン名を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」のセクションを参照してください。
デバイスのすべての SAM プロファイルを検索するには、コマンドshow samlidpProfileを実行します。
ステップ 2: インスタンスを選択する
影響を受けるインスタンスは [インスタンスの選択]に自動的に入力されます。インスタンスを選択して [ 次へ] をクリックします。
ステップ 3: 変数値を指定する
変数値を入力します。
-
saml_action_patset: SAML アクションの名前を追加 -
saml_action_domain1: ドメインを次の形式で入力しますhttps://<example1.com>/ -
saml_action_name: ジョブを設定している SAML アクションと同じものを入力します -
saml_profile_patset: SAML プロファイルの名前を追加します -
saml_profile_url1: URL を入力してくださいこの形式ですかhttps://<example2.com>/cgi/samlauth -
saml_profile_name: ジョブを設定している SAML プロファイルと同じものを入力します
注
URL の場合、拡張子は必ずしも
cgi/samlauthとは限りません。それはあなたが持っている第三者の認証によって異なりますので、それに応じて拡張機能を追加する必要があります。
ステップ 4: 構成をプレビューする
設定に挿入された変数値をプレビューし、[ 次へ] をクリックします。
ステップ 5: ジョブを実行する
「 完了 」をクリックして構成ジョブを実行します。
ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。
すべての脆弱なNetScalerインスタンスに対して2つの修正手順を完了したら、オンデマンドスキャンを実行して修正されたセキュリティ状態を確認できます。
NetScaler コンソールエクスプレスアカウントの注意点
NetScaler Console Expressアカウントの機能には制限があり、2つの構成ジョブのみという制限があります。NetScalerコンソールエクスプレスアカウントについて詳しくは、「 エクスプレスアカウントを使用したNetScalerコンソールリソースの管理」を参照してください。 CVE-2020-8300を修復するには、脆弱なNetScalerインスタンスの数と同じ数の構成ジョブを実行する必要があります。そのため、Express アカウントをお持ちで、3 つ以上の構成ジョブを実行する必要がある場合は、次の回避策に従ってください。
回避策:脆弱な2つのNetScalerインスタンスに対して2つの構成ジョブを実行し、両方のジョブを削除して、次の2つの脆弱なNetScalerインスタンスで次の2つのジョブを引き続き実行します。脆弱なインスタンスをすべてカバーするまで、これを続けてください。ジョブを削除する前に、後で参照できるようにレポートをダウンロードできます。レポートをダウンロードするには、[ ネットワーク] > [ジョブ] でジョブを選択し、[ アクション ] の [ ダウンロード] をクリックします。
例:脆弱なNetScalerインスタンスが6つある場合は、2つの脆弱なインスタンスでそれぞれ2つの構成ジョブを実行し、両方の構成ジョブを削除します。この手順をもう 2 回繰り返します。最後に、6つのNetScalerインスタンスに対してそれぞれ6つの構成ジョブを実行することになります。NetScaler ConsoleのUIの[ インフラストラクチャ]>[ジョブ]には、最後の2つの構成ジョブのみが表示されます。
シナリオ
このシナリオでは、3つのNetScalerインスタンスがCVE-2020-8300の脆弱性があるため、すべてのインスタンスを修正する必要があります。次の手順を実行します:
-
このドキュメントの「インスタンスのアップグレード」セクションに記載されている手順に従って、 3つのNetScalerインスタンスをすべてアップグレードします 。
-
構成ジョブのワークフローを使用して、構成パッチを一度に1つのNetScalerに適用します。このドキュメントの「 設定コマンドの適用 」セクションに記載されている手順を参照してください。
脆弱なNetScaler 1の構成は以下のとおりです。
| 2 つの SAML アクション | 2 つの SAML プロファイル |
|---|---|
| SAML アクション 1 には 1 つのドメインがあり、SAML アクション 2 には 2 つのドメインがあります | SAML プロファイル 1 には 1 つの URL があり、SAML プロファイル 2 には 2 つの URL があります |
NetScaler 1を選択し、「 構成ジョブのワークフローに進む」をクリックします。組み込みテンプレートは自動入力されます。次に、ジョブ名を指定し、指定された構成に従ってテンプレートをカスタマイズします。
次の表は、カスタマイズされたパラメータの変数定義を示しています。
表1. SAML アクションの変数定義
| NetScaler 構成 | patset の変数定義 | SAML アクション名の変数定義 | ドメインの変数定義 |
|---|---|---|---|
| SAML アクション 1 には 1 つのドメインがあります | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| SAML アクション 2 には 2 つのドメインがあります | saml_action_patset2 | saml_action_name2 | saml_action_domain2、saml_action_domain3 |
表2. SAML プロファイルの変数定義
| NetScaler 構成 | patset の変数定義 | SAML プロファイル名の変数定義 | URL の変数定義 |
|---|---|---|---|
| SAML プロファイル 1 には 1 つの URL があります | saml_profile_patset1 | saml_profile_name1 | saml_profile_url1 |
| SAML プロファイル 2 には 2 つの URL があります | saml_profile_patset2 | saml_profile_name2 | saml_profile_url2、saml_profile_url3 |
[インスタンスの選択] で[NetScaler 1] を選択し、[次へ] をクリックします。[変数値の指定 ] ウィンドウが表示されます。このステップでは、前のステップで定義したすべての変数の値を指定する必要があります。
次に、変数を確認します。
[ 次へ ] をクリックし、[ 完了 ] をクリックしてジョブを実行します。
ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。
NetScaler 1の2つの修正手順を完了したら、同じ手順に従ってNetScaler 2とNetScaler 3を修正します。修正が完了したら、オンデマンドスキャンを実行して、修正されたセキュリティ体制を確認できます。