Application Delivery Management

修复 CVE-2021-22927 和 CVE-2021-22920 的漏洞

在 NetScaler ADM 安全建议控制板中,在“当前 CVE”>“ <number of>ADC 实例受到 CVE 影响”下,您可以看到所有因 CVE-2021-22927 和 CVE-2021-22920 而易受攻击的实例。要查看受这两个 CVE 影响的实例的详细信息,请选择一个或多个 CVE,然后单击“查看受影响的实例”。

CVE-2021-22927 和 CVE-2021-22920 的安全公告控制板

注意

安全公告系统扫描可能需要几个小时才能得出结论,并在安全建议模块中反映 CVE-2021-22927 和 CVE-2021-22920 的影响。要更快地查看影响,请单击“立即扫描”开始按需扫描。

有关安全公告控制板的更多信息,请参阅安全公告

将出现<number of>受 CVE 影响的 ADC 实例窗口。在以下屏幕截图中,您可以看到受 CVE-2021-22927 和 CVE-2021-22920 影响的 ADC 实例的数量和详细信息。

受 CVE-2020-8300 影响的实例

修复 CVE-2021-22927 和 CVE-2021-22920

对于受 CVE-2021-22927 和 CVE-2021-22920 影响的 ADC 实例,修复过程分为两步。在 GUI 中,在“当前 CVE”>“ADC 实例受到 CVE 影响”下,您可以看到步骤 1 和 2。

CVE-2021-22927 和 CVE-2021-22920 的补救措施

这两个步骤包括:

  1. 将易受攻击的 ADC 实例升级到已修复的版本和版本。
  2. 在配置作业中使用可自定义的内置配置模板应用所需的配置命令。对每个易受攻击的 ADC 逐一执行此步骤,并包括该 ADC 的所有 SAML 操作。

注意

如果您已经在 ADC 实例上运行了 CVE-2020-8300的配置任务,请跳过步骤 2。

在“当前 CVES”>“受 CVE 影响的 ADC 实例”下,您将看到此两步修复过程的两个独立工作流: 继续升级工作流程继续配置作业工作流程

修复工作流程

步骤 1:升级有漏洞的 ADC 实例

要升级有漏洞的实例,请选择实例,然后单击“继续”升级工作流程。升级工作流程将在已填充有漏洞的 ADC 实例时打开。

修复步骤 1

有关如何使用 NetScaler ADM 升级 ADC 实例的更多信息,请参阅 创建 ADC 升级任务

注意

对于所有易受攻击的 ADC 实例,可以一次性完成此步骤。 注意

完成所有易受 CVE-2021-22920 和 CVE-2021-22927 攻击的 ADC 实例的步骤 1 后,进行按需扫描。 当前 CVE 下更新的安全状态可帮助您了解 ADC 实例是否仍然容易受到这些 CVE 的攻击。从新状态来看,您还可以检查是否需要运行配置作业。 如果您已经对 CVE-2020-8300 的 ADC 实例应用了相应的配置作业,并且现在已升级 ADC 实例,则在执行按需扫描后,该实例不再显示为 CVE-2020-8300、CVE-2021-22920 和 CVE-2021-22927 的漏洞。

步骤 2:应用配置命令

升级受影响的实例后,在 <number of> 受 CVE 影响的 ADC 实例 窗口中,选择一个受 CVE-2021-22927 和 CVE-2021-22920 影响的实例,然后单击 继续配置作业工作流程。该工作流程包括以下步骤。

  1. 自定义配置。
  2. 查看自动填充的受影响实例。
  3. 为作业的变量指定输入。
  4. 查看填充变量输入的最终配置。
  5. 运行作业。

在选择实例并单击“继续配置作业工作流程”之前,请记住以下几点:

  • 对于受多个 CVE(例如 CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 和 CVE-2021-22956)影响的 ADC 实例:当您选择该实例并单击“继续配置作业工作流”时,内置配置模板不会在“选择配置”下自动填充。手动将安全公告模板下的相应配置作业模板拖放到右侧的配置作业窗格中。

  • 对于仅受 CVE-2021-22956 影响的多个 ADC 实例:您可以同时在所有实例上运行配置任务。例如,您有 ADC 1、ADC 2 和 ADC 3,所有这些都只受到 CVE-2021-22956 的影响。选择所有这些实例,然后单击“继续配置作业工作流程”,内置配置模板将自动填充在“选择配置”下。

  • 对于受 CVE-2021-22956 和一个或多个其他 CVE(例如 CVE-2020-8300、CVE-2021-22927 和 CVE-2021-22920)影响的多个 ADC 实例,这些实例需要同时对每个 ADC 进行修复:当您选择这些实例并单击“继续配置作业工作流程”时,会出现错误出现一条消息,提示您一次在每个 ADC 上运行配置作业。

步骤 1:选择配置

在配置作业工作流中,内置配置基础模板会自动填充在“选择配置”下。

选择配置

注意

如果在步骤 2 中选择用于应用配置命令的 ADC 实例容易受到 CVE-2021-22927、CVE-2021-22920 和 CVE-2020-8300 的攻击,则会自动填充 CVE-2020-8300 的基本模板。CVE-2020-8300 模板是所有三个 CVE 所需的超级配置命令集。根据您的 ADC 实例部署和要求自定义此基础模板。

您必须为每个受影响的 ADC 实例运行单独的配置作业,一次运行一个,并包括该 ADC 的所有 SAML 操作。例如,如果您有两个易受攻击的 ADC 实例,每个实例都有两个 SAML 操作,则必须运行此配置作业两次。每个 ADC 一次,涵盖其所有 SAML 操作。

ADC 1 ADC2
任务 1:两个 SAML 操作 任务 2:两个 SAML 操作

为作业命名并根据以下规范自定义模板。内置配置模板只是大纲或基础模板。根据您的部署自定义模板以满足以下要求:

a.SAML 操作及其关联域

根据您在部署中执行的 SAML 操作的数量,您必须复制第 1—3 行并为每个 SAML 操作自定义域。

自定义 SAML 操作

例如,如果您有两个 SAML 操作,则重复第 1—3 行两次,然后相应地为每个 SAML 操作自定义变量定义。

而且,如果您有一个 SAML 操作有 N 个域,则必须手动多次键入行 bind patset $saml_action_patset$ “$saml_action_domain1$”,以确保该行在该 SAML 操作中出现 N 次。并更改以下变量定义名称:

  • saml_action_patset: 是配置模板变量,它表示 SAML 操作的模式集(patset)名称的值。您可以在配置作业工作流程的第 3 步中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。

  • saml_action_domain1: 是配置模板变量,它代表该特定 SAML 操作的域名。您可以在配置作业工作流程的步骤 3 中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。

要查找设备的所有 SAML 操作,请运行命令 show samlaction

查找 SAML 操作

步骤 2:选择实例

受影响的实例会在“选择实例”下自动填充。选择实例,然后单击“下一步”。

选择实例

步骤 3:指定变量值

输入变量值。

  • saml_action_patset:为 SAML 操作添加一个名称
  • saml_action_domain1:按 https://<example1.com>/ 格式输入域名
  • saml_action_name:输入与您为其配置作业的 SAML 操作相同的内容

指定变量

步骤 4:预览配置

预览配置中已插入的变量值,然后单击“下一步”。

预览作业

步骤 5:运行作业

单击“完成”运行配置作业。

运行配置作业

作业运行后,它会显示在 基础结构 > 配置 > 配置作业下。

完成所有易受攻击的 ADC 的两个修复步骤后,您可以运行按需扫描以查看修改后的安全状态。

场景

在这种情况下,两个 ADC 实例容易受到 CVE-2021-22920 的攻击,您需要修复所有实例。请按照以下步骤进行操作:

  1. 按照本文档“升级实例”部分中给出的步骤升级所有三个 ADC 实例。

  2. 使用配置作业工作流程,一次将配置补丁应用到一个 ADC。请参阅本文档“应用配置命令”部分中给出的步骤。

易受攻击的 ADC 1 有两个 SAML 动作:

  • SAML 操作 1 有一个域
  • SAML 操作 2 有两个域

启动配置作业工作流程

选择 ADC 1,然后单击“继续配置作业工作流程”。内置基础模板会自动填充。接下来,给出作业名称并根据给定的配置自定义模板。

为给定场景自定义模板

下表列出了自定义参数的变量定义。

表。SAML 操作的变量定义

ADC 配置 patset 的变量定义 SAML 操作名称的变量定义 域的变量定义
SAML 操作 1 有一个域 saml_action_patset1 saml_action_name1 saml_action_domain1
SAML 操作 2 有两个域 saml_action_patset2 saml_action_name2 saml_action_domain2、saml_action_domain3

在“选择实例”下,选择 ADC 1,然后单击“下一步”。将出现“指定变量值”窗口。在此步骤中,您需要为上一步中定义的所有变量提供值。

指定可变场景

接下来,查看变量。

查看变量场景

单击“下一步”,然后单击“完成”以运行作业。

作业运行后,它会显示在 基础结构 > 配置 > 配置作业下。

完成 ADC1 的两个修复步骤后,按照相同的步骤修复 ADC 2 和 ADC 3。修复完成后,您可以运行按需扫描以查看修改后的安全状态。

修复 CVE-2021-22927 和 CVE-2021-22920 的漏洞