NetScaler 控制台服务

修复 CVE-2021-22927 和 CVE-2021-22920 的漏洞

在 NetScaler 控制台安全公告控制面板中, 在“当前 CVE”>“ <number of>NetScaler 实例受 CVE 影响”下,您可以看到所有因 CVE-2021-22927 和 CVE-2021-22920 而易受攻击的实例。要查看受这两个 CVE 影响的实例的详细信息,请选择一个或多个 CVE,然后单击“查看受影响的实例”。

CVE-2021-22927 和 CVE-2021-22920 的安全公告控制板

注意

安全公告系统扫描可能需要几个小时才能得出结论,并在安全建议模块中反映 CVE-2021-22927 和 CVE-2021-22920 的影响。要更快地查看影响,请单击“立即扫描”开始按需扫描。 有关安全公告控制面板的更多信息,请参阅安全公告

将出现<number of>受 CVE 影响的 NetScaler 实例窗口。在以下屏幕截图中,您可以看到受 CVE-2021-22927 和 CVE-2021-22920 影响的 NetScaler 实例的数量和详细信息。

受 CVE-2020-8300 影响的实例

修复 CVE-2021-22927 和 CVE-2021-22920

对于受 CVE-2021-22927 和 CVE-2021-22920 影响的 NetScaler 实例,修复过程分为两步。在 GUI 中,在“当前 CVE”>“NetScaler 实例受 CVE 影响”下,您可以看到第 1 步和第 2 步。

CVE-2021-22927 和 CVE-2021-22920 的补救措施

这两个步骤包括:

  1. 将易受攻击的 NetScaler 实例升级到具有修复程序的版本和版本。
  2. 在配置作业中使用可自定义的内置配置模板应用所需的配置命令。对每个易受攻击的 NetScaler 执行此步骤,一次执行一个,并包括针对该 NetScaler 的所有 SAML 操作。

注意

如果您已经在 CVE-2020-8300 的 NetScaler 实例上运行了配置作业,请跳过步骤 2。

在“当前 CVE> 受 CVE 影响的 NetScaler 实例”下,您可以看到此两步修复过程的两个独立工作流程:继续 升级工作程和继续 配置作业工作流程。

修复工作流程

第 1 步:升级易受攻击的 NetScaler 实例

要升级有漏洞的实例,请选择实例,然后单击“继续”升级工作流程。升级流程在已填充易受攻击的 NetScaler 实例的情况下打开。

修复步骤 1

有关如何使用 NetScaler 控制台升级 NetScaler 实例的详细信息,请参见创建 NetScaler 升级任务

注意

对于所有易受攻击的 NetScaler 实例,可以立即执行此步骤。 注意

完成所有易受 CVE-2021-22920 和 CVE-2021-22927 攻击的 NetScaler 实例的步骤 1 后,进行按需扫描。 当前 CVE 下更新的安全态势可帮助您了解 NetScaler 实例是否仍然容易受到任何 CVE 的攻击。从新状态来看,您还可以检查是否需要运行配置作业。 如果您已经对适用于 CVE-2020-8300 的 NetScaler 实例应用了相应的配置作业,并且现在您已经升级了 NetScaler 实例,则在进行按需扫描后,该实例将不再显示为 CVE-2020-8300、CVE-2021-22920 和 CVE-2021-22927 易受攻击。

步骤 2:应用配置命令

升级受影响的实例后,在 <number of> 受 CVE 影响的 NetScaler 实例窗口中,选择一个受 CVE-2021-22927 和 CVE-2021-22920 影响的实例,然后 点击继续配置作业流程。该工作流程包括以下步骤。

  1. 自定义配置。
  2. 查看自动填充的受影响实例。
  3. 为作业的变量指定输入。
  4. 查看填充变量输入的最终配置。
  5. 运行作业。

在选择实例并单击“继续配置作业工作流程”之前,请记住以下几点:

  • 对于受多个 CVE(例如 CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 和 CVE-2021-22956)影响的 NetScaler 实例:当您选择该实例并 单击“继续进行配置作业工作流程”时,内置配置模板不会自动填充在“选择配置”下。手动将安全公告模板下的相应配置作业模板拖放到右侧的配置作业窗格中。

  • 对于仅受 CVE-2021-22956 影响的多个 NetScaler 实例:您可以同时在所有实例上运行配置作业。例如,您有 NetScaler 1、NetScaler 2 和 NetScaler 3,它们都只受到 CVE-2021-22956 的影响。选择所有这些实例,然后单击“继续配置作业工作流程”,内置配置模板将自动填充在“选择配置”下。请参阅 发行说明中的已知问题 NSADM-80913。

  • 对于受 CVE-2021-22956 影响的多个 NetScaler 实例以及一个或多个其他 CVE(例如 CVE-2020-8300、CVE-2021-22927 和 CVE-2021-22920),这些实例需要同时对每个 NetScaler 进行补救:当您选择这些实例并 单击“继续配置作业流程”时,会出现一条错误消息,提示您一次在每个 NetScaler 上运行配置作业。

步骤 1:选择配置

在配置作业工作流中,内置配置基础模板会自动填充在“选择配置”下。

选择配置

注意

如果在步骤 2 中选择的用于应用配置命令的 NetScaler 实例易受 CVE-2021-22927、CVE-2021-22920 以及 CVE-2020-8300 的攻击,则系统会自动填充 CVE-2020-8300 的基本模板。CVE-2020-8300 模板是所有三个 CVE 所需的超级配置命令集。根据您的 NetScaler 实例部署和要求自定义此基本模板。

您必须为每个受影响的 NetScaler 实例运行单独的配置作业,一次只能运行一个配置作业,并包括该 NetScaler 的所有 SAML 操作。例如,如果您有两个易受攻击的 NetScaler 实例,每个实例都有两个 SAML 操作,则必须运行此配置作业两次。每个 NetScaler 一次涵盖其所有 SAML 操作。

NetScaler 1 NetScaler2
任务 1:两个 SAML 操作 任务 2:两个 SAML 操作

为作业命名并根据以下规范自定义模板。内置配置模板只是大纲或基础模板。根据您的部署自定义模板以满足以下要求:

a.SAML 操作及其关联域

根据您在部署中执行的 SAML 操作的数量,您必须复制第 1—3 行并为每个 SAML 操作自定义域。

自定义 SAML 操作

例如,如果您有两个 SAML 操作,则重复第 1—3 行两次,然后相应地为每个 SAML 操作自定义变量定义。

而且,如果您有一个 SAML 操作有 N 个域,则必须手动多次键入行 bind patset $saml_action_patset$ “$saml_action_domain1$”,以确保该行在该 SAML 操作中出现 N 次。并更改以下变量定义名称:

  • saml_action_patset: 是配置模板变量,它表示 SAML 操作的模式集(patset)名称的值。您可以在配置作业工作流程的第 3 步中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。

  • saml_action_domain1: 是配置模板变量,它代表该特定 SAML 操作的域名。您可以在配置作业工作流程的步骤 3 中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。

要查找设备的所有 SAML 操作,请运行命令 show samlaction

查找 SAML 操作

步骤 2:选择实例

受影响的实例会在“选择实例”下自动填充。选择实例,然后单击“下一步”。

选择实例

步骤 3:指定变量值

输入变量值。

  • saml_action_patset:为 SAML 操作添加一个名称
  • saml_action_domain1:按 https://<example1.com>/ 格式输入域名
  • saml_action_name:输入与您为其配置作业的 SAML 操作相同的内容

指定变量

步骤 4:预览配置

预览配置中已插入的变量值,然后单击“下一步”。

预览作业

步骤 5:运行作业

单击“完成”运行配置作业。

运行配置作业

作业运行后,它会显示在 基础结构 > 配置 > 配置作业下。

完成所有易受攻击的 NetScaler 实例的两个修复步骤后,您可以运行按需扫描以查看修改后的安全状况。

场景

在这种情况下,两个 NetScaler 实例易受 CVE-2021-22920 攻击,您需要修复所有实例。请按照以下步骤进行操作:

  1. 按照本文档“升级实例”部分中给出的步骤,升级所有三个 NetScaler 实例。

  2. 使用配置作业流程,一次将配置补丁应用到一个 NetScaler 上。请参阅本文档“应用配置命令”部分中给出的步骤。

易受攻击的 NetScaler 1 有两个 SAML 操作:

  • SAML 操作 1 有一个域
  • SAML 操作 2 有两个域

启动配置作业工作流程

选择 NetScaler 1,然后 单击“继续配置作业流程”。内置基础模板会自动填充。接下来,给出作业名称并根据给定的配置自定义模板。

为给定场景自定义模板

下表列出了自定义参数的变量定义。

表。SAML 操作的变量定义

NetScaler 配置 patset 的变量定义 SAML 操作名称的变量定义 域的变量定义
SAML 操作 1 有一个域 saml_action_patset1 saml_action_name1 saml_action_domain1
SAML 操作 2 有两个域 saml_action_patset2 saml_action_name2 saml_action_domain2、saml_action_domain3

在“选择实例”下,选择 NetScaler 1,然后单击“下一”。将出现“指定变量值”窗口。在此步骤中,您需要为上一步中定义的所有变量提供值。

指定可变场景

接下来,查看变量。

查看变量场景

单击“下一步”,然后单击“完成”以运行作业。

作业运行后,它会显示在 基础结构 > 配置 > 配置作业下。

完成 NetScaler 1 的两个修复步骤后,按照相同的步骤修复 NetScaler 2 和 NetScaler 3。修复完成后,您可以运行按需扫描以查看修改后的安全状态。

修复 CVE-2021-22927 和 CVE-2021-22920 的漏洞