NetScaler Console 服务

识别并修复 CVE-2021-22956 漏洞

在 NetScaler Console 安全通报仪表板中,在“当前 CVE > <number of> NetScaler 实例受常见漏洞和披露 (CVE) 影响”下,您可以查看所有受此特定 CVE 影响的易受攻击实例。要查看受 CVE-2021-22956 影响的实例的详细信息,请选择 CVE-2021-22956,然后单击“查看受影响的实例”。

Security advisory dashboard for CVE-2021-22927 and CVE-2021-22920

“受 CVE 影响的 <number of> NetScaler 实例”窗口随即出现。在此处,您可以看到受 CVE-2021-22956 影响的 NetScaler 实例的数量和详细信息。

Instances impacted by CVE-2020-8300

有关安全通报仪表板的更多信息,请参阅安全通报

注意:

安全通报系统扫描可能需要一些时间才能完成并反映 CVE-2021-22956 对安全通报模块的影响。要更快地查看影响,请单击“立即扫描”启动按需扫描。

识别受 CVE-2021-22956 影响的实例

CVE-2021-22956 需要自定义扫描,其中 NetScaler Console 连接到托管的 NetScaler 实例并将脚本推送到该实例。该脚本在 NetScaler 实例上运行,并检查 Apache 配置文件(httpd.conf file)和最大客户端连接数(maxclient)参数,以确定实例是否易受攻击。脚本与 NetScaler Console 共享的信息是布尔值(true 或 false)形式的漏洞状态。该脚本还会向 NetScaler Console 返回一个列表,其中包含不同网络接口(例如本地主机、NSIP 和 SNIP 以及管理访问权限)的 max_clients 计数。您可以在“安全通报”页面的“扫描日志”选项卡中下载的 CSV 文件中查看此列表的详细报告。

此脚本在您每次运行计划扫描或按需扫描时都会运行。扫描完成后,脚本将从 NetScaler 实例中删除。

修复 CVE-2021-22956

对于受 CVE-2021-22956 影响的 NetScaler 实例,修复是一个两步过程。在 GUI 中,在“当前 CVE > 受 CVE 影响的 NetScaler 实例”下,您可以看到步骤 1 和步骤 2。

Remediation steps for CVE-2021-22927 and CVE-2021-22920

这两个步骤包括:

  1. 将易受攻击的 NetScaler 实例升级到包含修复的发行版本和内部版本。

  2. 使用配置作业中可自定义的内置配置模板应用所需的配置命令。

在“当前 CVE > 受 CVE 影响的 NetScaler 实例”下,您会看到此两步修复过程的两个独立工作流:“继续升级工作流”和“继续配置作业工作流”。

Remediation workflows

步骤 1:升级易受攻击的 NetScaler 实例

要升级易受攻击的实例,请选择实例并单击“继续升级工作流”。升级工作流将打开,其中已填充了易受攻击的 NetScaler 实例。

有关如何使用 NetScaler Console 升级 NetScaler 实例的更多信息,请参阅创建 NetScaler 升级作业

注意:

此步骤可以一次性完成所有易受攻击的 NetScaler 实例。

步骤 2:应用配置命令

升级受影响的实例后,在“受 CVE 影响的 <number of> NetScaler 实例”窗口中,选择受 CVE-2021-22956 影响的实例,然后单击“继续配置作业工作流”。该工作流包括以下步骤。

  1. 自定义配置。
  2. 查看自动填充的受影响实例。
  3. 为作业的变量指定输入。
  4. 查看填充了变量输入的最终配置。
  5. 运行作业。

在选择实例并单击“继续配置作业工作流”之前,请记住以下几点:

  • 对于受多个 CVE(例如 CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 和 CVE-2021-22956)影响的 NetScaler 实例:当您选择实例并单击“继续配置作业工作流”时,内置配置模板不会在“选择配置”下自动填充。请手动将“安全通报模板”下相应的配置作业模板拖放到右侧的配置作业窗格中。

  • 对于仅受 CVE-2021-22956 影响的多个 NetScaler 实例:您可以一次性在所有实例上运行配置作业。例如,您有 NetScaler 1、NetScaler 2 和 NetScaler 3,并且它们都仅受 CVE-2021-22956 影响。选择所有这些实例并单击“继续配置作业工作流”,内置配置模板将在“选择配置”下自动填充。

  • 对于受 CVE-2021-22956 和一个或多个其他 CVE(例如 CVE-2020-8300、CVE-2021-22927 和 CVE-2021-22920)影响的多个 NetScaler 实例,这些 CVE 需要一次性应用于每个 NetScaler:当您选择这些实例并单击“继续配置作业工作流”时,将出现一条错误消息,告诉您一次性在每个 NetScaler 上运行配置作业。

步骤 1:选择配置

在配置作业工作流中,内置配置基本模板会在“选择配置”下自动填充。

Select config

步骤 2:选择实例

受影响的实例会在“选择实例”下自动填充。选择实例。如果此实例是 HA 对的一部分,请选择“在辅助节点上执行”。单击“下一步”。

Select instance

注意:

对于处于群集模式的 NetScaler 实例,使用安全通报,NetScaler Console 仅支持在群集配置协调器 (CCO) 节点上运行配置作业。请单独在非 CCO 节点上运行命令。

步骤 3:指定变量值

输入变量值。

Specify variables

选择以下选项之一来为实例指定变量:

所有实例的通用变量值:为变量 max_client 输入一个通用值。

上传变量值的输入文件:单击“下载输入密钥文件”以下载输入文件。在输入文件中,输入变量 max_client 的值,然后将文件上传到 NetScaler Console 服务器。

注意:

对于上述两个选项,建议的 max_client 值为 30。您可以根据当前值设置该值。但是,它不应为零,并且应小于或等于 /etc/httpd.conf 文件中设置的 max_client。您可以通过在 NetScaler 实例中搜索字符串 MaxClients 来检查 /etc/httpd.conf Apache HTTP Server 配置文件中设置的当前值。

步骤 4:预览配置

预览已插入配置中的变量值,然后单击“下一步”。

Preview the job

步骤 5:运行作业

单击“完成”以运行配置作业。

Run configuration job

作业运行后,它将显示在“基础结构 > 配置 > 配置作业”下。

完成所有易受攻击的 NetScaler 实例的两步修复后,您可以运行按需扫描以查看修订后的安全状况。

识别并修复 CVE-2021-22956 漏洞