Application Delivery Management

识别并修复 CVE-2021-22956 的漏洞

在 NetScaler ADM 安全通告控制板中,在“当前 CVE”>“<number of>ADC 实例受到常见漏洞和暴露 (CVE) 影响”下,您可以看到所有因该特定 CVE 而易受攻击的实例。要查看受 CVE-2021-22956 影响的实例的详细信息,请选择 CVE-2021-22956,然后单击“查看受影响实例”。

CVE-2021-22927 和 CVE-2021-22920 的安全公告控制板

将出现受 CVE 影响的<number of>ADC 实例窗口。在这里,您可以看到受 CVE-2021-22956 影响的 ADC 实例的数量和详细信息。

受 CVE-2020-8300 影响的实例

有关安全公告控制板的更多信息,请参阅安全公告

注意

安全公告系统扫描可能需要一些时间才能得出结论并反映 CVE-2021-22956 在安全建议模块中的影响。要更快地看到影响,请单击“立即扫描”开始按需扫描

识别受 CVE-2021-22956 影响的实例

CVE-2021-22956 需要自定义扫描,其中 ADM 服务与托管 ADC 实例连接,将脚本推送到实例。该脚本在 ADC 实例上运行并检查 Apache 配置文件 (httpd.conf file) 和最大客户端连接数 (maxclient) 参数,以确定实例是否存在漏洞。脚本与 ADM 服务共享的信息是以布尔值表示的漏洞状态(true 或 false)。该脚本还将不同网络接口(例如本地主机、NSIP 和具有管理访问权限的 SNIP)的 max_clients 计数列表返回 ADM 服务。

每次运行预定的按需扫描时,此脚本都会运行。扫描完成后,脚本将从 ADC 实例中删除。

修复 CVE-2021-22956

对于受 CVE-2021-22956 影响的 ADC 实例,修复过程分为两步。在 GUI 中,在“当前 CVE”>“ADC 实例受到 CVE 影响”下,您可以看到步骤 1 和 2。

CVE-2021-22927 和 CVE-2021-22920 的补救措施

这两个步骤包括:

  1. 将易受攻击的 ADC 实例升级到已修复的版本和版本。

  2. 在配置作业中使用可自定义的内置配置模板应用所需的配置命令。

在“当前 CVES”>“受 CVE 影响的 ADC 实例”下,您将看到此两步修复过程的两个独立工作流:继续升级工作流程和继续配置作业工作流程。

修复工作流程

步骤 1:升级有漏洞的 ADC 实例

要升级有漏洞的实例,请选择实例,然后单击“继续”升级工作流程。升级工作流程将在已填充有漏洞的 ADC 实例时打开。

有关如何使用 NetScaler ADM 升级 ADC 实例的更多信息,请参阅 创建 ADC 升级任务

注意

对于所有易受攻击的 ADC 实例,可以一次性完成此步骤。

步骤 2:应用配置命令

升级受影响的实例后,在 <number of> 受 CVE 影响的 ADC 实例 窗口中,选择受 CVE-2021-2295 影响的实例,然后单击 继续配置作业工作流程。该工作流程包括以下步骤。

  1. 自定义配置。
  2. 查看自动填充的受影响实例。
  3. 为作业的变量指定输入。
  4. 查看填充变量输入的最终配置。
  5. 运行作业。

在选择实例并单击“继续配置作业工作流程”之前,请记住以下几点:

  • 对于受多个 CVE(例如 CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 和 CVE-2021-22956)影响的 ADC 实例:当您选择该实例并单击“继续配置作业工作流”时,内置配置模板不会在“选择配置”下自动填充。手动将安全公告模板下的相应配置作业模板拖放到右侧的配置作业窗格中。

  • 对于仅受 CVE-2021-22956 影响的多个 ADC 实例:您可以同时在所有实例上运行配置任务。例如,您有 ADC 1、ADC 2 和 ADC 3,所有这些都只受到 CVE-2021-22956 的影响。选择所有这些实例,然后单击“继续配置作业工作流程”,内置配置模板将自动填充在“选择配置”下。请参阅 发行说明中的已知问题 NSADM-80913。

  • 对于受 CVE-2021-22956 和一个或多个其他 CVE(例如 CVE-2020-8300、CVE-2021-22927 和 CVE-2021-22920)影响的多个 ADC 实例,这些实例需要同时对每个 ADC 进行修复:当您选择这些实例并单击“继续配置作业工作流程”时,会出现错误出现一条消息,提示您一次在每个 ADC 上运行配置作业。

步骤 1:选择配置

在配置作业工作流中,内置配置基础模板会自动填充在“选择配置”下。

选择配置

步骤 2:选择实例

受影响的实例会在“选择实例”下自动填充。选择实例。如果此实例是 HA 对的一部分,请选择“在辅助节点上执行”。单击“下一”。

选择实例

注意

对于群集模式下的 ADC 实例,使用 ADM 安全通告,ADM 仅支持在群集配置协调器 (CCO) 节点上运行配置作业。在非 CCO 节点上单独运行命令。

在所有 HA 和群集节点上同步 rc.netscaler,使修复在每次重启后持续存在。

步骤 3:指定变量值

输入变量值。

指定变量

选择以下选项之一为您的实例指定变量:

所有实例的常用变量值:输入变量 max_client 的通用值。

上载变量值的输入文件:单击“下载输入密钥文件”以下载输入文件。在输入文件中,输入变量 max_client 的值,然后将文件上载到 ADM 服务器。有关此选项的问题,请参阅 发行说明 中的已知问题 NSADM-80913。

注意

对于上述两个选项,建议 max_client 值均为 30。您可以根据您的当前值设置该值。但是,它不应为零,并且应小于或等于 /etc/httpd.conf 文件中设置的 max_client。您可以通过在 ADC 实例中搜索字符串 MaxClients 来检查 Apache HTTP 服务器配置文件 /etc/httpd.conf 中设置的当前值

步骤 4:预览配置

预览配置中已插入的变量值,然后单击“下一步”。

预览作业

步骤 5:运行作业

单击“完成”运行配置作业。

运行配置作业

作业运行后,它会显示在 基础结构 > 配置 > 配置作业下。

完成所有易受攻击的 ADC 的两个修复步骤后,您可以运行按需扫描以查看修改后的安全状态。

识别并修复 CVE-2021-22956 的漏洞