NetScaler 控制台服务

修复 CVE-2020-8300 的漏洞

在 NetScaler 控制台安全公告控制面板中, 在“当前 CVE”>“ <number of>NetScaler 实例受 CVE 影响”下,您可以看到由于该特定 CVE 而易受攻击的所有实例。要查看受 CVE-2020-8300 影响的实例的详细信息,请选择 CVE-2020-8300 ,然后单击“查看受影响实例”。

CVE-2020-8300 的安全公告控制面板

注意

有关安全公告控制板的更多信息,请参阅安全公告

将出现<number of>受 CVE 影响的 NetScaler 实例窗口。在这里,您可以看到受 CVE-2020-8300 影响的 NetScaler 实例的数量和详细信息。

受 CVE-2020-8300 影响的实例

修复 CVE-2020-8300

对于受 CVE-2020-8300 影响的 NetScaler 实例,补救过程分为两步。在 GUI 中,在“当前 CVE”>“NetScaler 实例受 CVE 影响”下,您可以看到第 1 步和第 2 步。

补救步骤

这两个步骤包括:

  1. 将易受攻击的 NetScaler 实例升级到具有修复程序的版本和版本。
  2. 在配置作业中使用可自定义的内置配置模板应用所需的配置命令。对每个易受攻击的 NetScaler 执行此步骤,一次只能执行一个操作,并包括该 NetScaler 的所有 SAML 操作和 SAML 配置文件。

在“当前 CVE> 受 CVE 影响的 NetScaler 实例”下,您可以看到此两步修复过程的两个独立工作流程:继续 升级工作程和继续 配置作业工作流程。

修复工作流程

第 1 步:升级易受攻击的 NetScaler 实例

要升级有漏洞的实例,请选择实例,然后单击“继续”升级工作流程。升级流程在已填充易受攻击的 NetScaler 实例的情况下打开。

修复步骤 1

有关如何使用 NetScaler 控制台升级 NetScaler 实例的详细信息,请参见创建 NetScaler 升级任务

注意

对于所有易受攻击的 NetScaler 实例,可以立即执行此步骤。

步骤 2:应用配置命令

升级受影响的实例后,在 <number of> 受 CVE 影响的 NetScaler 实例窗口中,选择一个受 CVE-2020-8300 影响的实例,然后 点击继续配置作业流程。该工作流程包括以下步骤。

  1. 自定义配置。
  2. 查看自动填充的受影响实例。
  3. 为作业的变量指定输入。
  4. 查看填充变量输入的最终配置。
  5. 运行作业。

在选择实例并单击“继续配置作业工作流程”之前,请记住以下几点:

  • 对于受多个 CVE(例如 CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 和 CVE-2021-22956)影响的 NetScaler 实例:当您选择该实例并 单击“继续进行配置作业工作流程”时,内置配置模板不会自动填充在“选择配置”下。手动将安全公告模板下的相应配置作业模板拖放到右侧的配置作业窗格中。

  • 对于仅受 CVE-2021-22956 影响的多个 NetScaler 实例:您可以同时在所有实例上运行配置作业。例如,您有 NetScaler 1、NetScaler 2 和 NetScaler 3,它们都只受到 CVE-2021-22956 的影响。选择所有这些实例,然后单击“继续配置作业工作流程”,内置配置模板将自动填充在“选择配置”下。请参阅 发行说明中的已知问题 NSADM-80913。

  • 对于受 CVE-2021-22956 影响的多个 NetScaler 实例以及一个或多个其他 CVE(例如 CVE-2020-8300、CVE-2021-22927 和 CVE-2021-22920),这些实例需要同时对每个 NetScaler 进行补救:当您选择这些实例并 单击“继续配置作业流程”时,会出现一条错误消息,提示您一次在每个 NetScaler 上运行配置作业。

步骤 1:选择配置

在配置作业工作流中,内置配置模板会自动填充在“选择配置”下。

选择配置

为每个受影响的 NetScaler 实例运行一个单独的配置作业,并包括该 NetScaler 的所有 SAML 操作和 SAML 配置文件。例如,如果您有两个易受攻击的 NetScaler 实例,每个实例都有两个 SAML 操作和两个 SAML 配置文件,则必须运行此配置作业两次。每个 NetScaler 一次,涵盖其所有 SAML 操作和 SAML 配置文件。

NetScaler 1 NetScaler 2
任务 1:两个 SAML 操作 + 两个 SAML 配置文件 任务 2:两个 SAML 操作 + 两个 SAML 配置文件

为作业命名并根据以下规范自定义模板。内置配置模板只是大纲或基础模板。根据您的部署自定义模板以满足以下要求:

a.SAML 操作及其关联域

根据您在部署中执行的 SAML 操作的数量,您必须复制第 1—3 行并为每个 SAML 操作自定义域。

自定义 SAML 操作

例如,如果您有两个 SAML 操作,则重复第 1—3 行两次,然后相应地为每个 SAML 操作自定义变量定义。

而且,如果您有一个 SAML 操作有 N 个域,则必须手动多次键入行 bind patset $saml_action_patset$ “$saml_action_domain1$”,以确保该行在该 SAML 操作中出现 N 次。并更改以下变量定义名称:

  • saml_action_patset: 是配置模板变量,它表示 SAML 操作的模式集(patset)名称的值。您可以在配置作业工作流程的第 3 步中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。

  • saml_action_domain1: 是配置模板变量,它代表该特定 SAML 操作的域名。您可以在配置作业工作流程的步骤 3 中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。

要查找设备的所有 SAML 操作,请运行命令 show samlaction

查找 SAML 操作

b. SAML 配置文件及其关联的 URL

根据您在部署中拥有的 SAML 配置文件数量,复制行 4—6。自定义每个 SAML 配置文件的 URL。

自定义 SAML 配置文件

例如,如果您有两个 SAML 配置文件,请手动输入两行 4—6 行,然后相应地为每个 SAML 操作自定义变量定义。

而且,如果您有一个 SAML 操作有 N 个域,则必须手动 bind patset $saml_profile_patset$ “$saml_profile_url1$” 多次键入该行,以确保该行在该 SAML 配置文件中出现 N 次。并更改以下变量定义名称:

  • saml_profile_patset: 是配置模板变量,它表示 SAML 配置文件的模式集(patset)名称的值。您可以在配置作业工作流程的步骤 3 中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。

  • saml_profile_url1: 是配置模板变量,它代表该特定 SAML 配置文件的域名。您可以在配置作业工作流程的步骤 3 中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。

要查找设备的所有 SAM 配置文件,请运行命令 show samlidpProfile

查找 SAML 配置文件

步骤 2:选择实例

受影响的实例会在“选择实例”下自动填充。选择实例,然后单击“下一步”。

选择实例

步骤 3:指定变量值

输入变量值。

  • saml_action_patset:为 SAML 操作添加一个名称
  • saml_action_domain1:按 https://<example1.com>/ 格式输入域名
  • saml_action_name:输入与您为其配置作业的 SAML 操作相同的内容
  • saml_profile_patset: 为 SAML 配置文件添加一个名称
  • saml_profile_url1: 输入 URL 采用这种格式 https://<example2.com>/cgi/samlauth
  • saml_profile_name:输入与您为其配置作业的 SAML 配置文件相同的配置文件

注意

对于 URL,扩展名并不总是如此 cgi/samlauth。这取决于您拥有的第三方授权,因此您必须输入扩展名。

指定变量

步骤 4:预览配置

预览配置中已插入的变量值,然后单击“下一步”。

步骤 5:运行作业

单击“完成”运行配置作业。

运行配置作业

作业运行后,它会显示在 基础结构 > 配置 > 配置作业下。

完成所有易受攻击的 NetScaler 实例的两个修复步骤后,您可以运行按需扫描以查看修改后的安全状况。

NetScaler 控制台Express 帐户的注意事项

NetScaler 控制台Express 帐户的功能有限,其中包括仅限两个配置任务。要了解有关 NetScaler 控制台Express 帐户的更多信息,请参见 使用 Express 帐户管理 NetScaler Console资源。 对于 CVE-2020-8300 补救,必须运行与易受攻击的 NetScaler 实例数量一样多的配置作业。因此,如果您有 Express 帐户并且需要运行两个以上的配置作业,请遵循此解决方法。

决办法:为两个易受攻击的 NetScaler 实例运行两个配置作业,然后删除这两个作业,继续为接下来的两个易受攻击的 NetScaler 实例运行接下来的两个作业。继续执行此操作,直到覆盖完所有易受攻击的实例。在删除作业之前,您可以下载报告以备将来参考。要下载报告,请在“网络”>“作业”下选择作业,然后单击“操作”下的“下载”。

示例:如果您有六个易受攻击的 NetScaler 实例,请分别在两个易受攻击的实例上运行两个配置作业,然后删除这两个配置作业。再重复此步骤两次。最后,您将分别为六个 NetScaler 实例运行六个配置作业。在 NetScaler 控制台用户界面的“基础架构”>“任务”下,您只能看到最后两个配置作业。

场景

在这种情况下,三个 NetScaler 实例易受 CVE-2020-8300 攻击,您需要修复所有实例。请按照以下步骤进行操作:

  1. 按照本文档的“升级实例”部分中给出的步骤, 级所有三个 NetScaler 实例 。

  2. 使用配置作业流程,一次将配置补丁应用到一个 NetScaler 上。请参阅本文档“应用配置命令”部分中给出的步骤。

易受攻击的 NetScaler 1 具有以下配置:

两个 SAML 操作 两个 SAML 配置文件
SAML 操作 1 有一个域,而 SAML 操作 2 有两个域 SAML 配置文件 1 有一个 URL,而 SAML 配置文件 2 有两个 URL

启动配置作业工作流程

选择 NetScaler 1,然后 单击“继续配置作业流程”。内置模板会自动填充。接下来,给出作业名称并根据给定的配置自定义模板。

为给定场景自定义模板

下表列出了自定义参数的变量定义。

表 1. SAML 操作的变量定义

NetScaler 配置 patset 的变量定义 SAML 操作名称的变量定义 域的变量定义
SAML 操作 1 有一个域 saml_action_patset1 saml_action_name1 saml_action_domain1
SAML 操作 2 有两个域 saml_action_patset2 saml_action_name2 saml_action_domain2、saml_action_domain3

表 2. SAML 配置文件的变量定义

NetScaler 配置 patset 的变量定义 SAML 配置文件名称的变量定义 URL 的变量定义
SAML 配置文件 1 有一个 URL saml_profile_patset1 saml_profile_name1 saml_profile_url1
SAML 配置文件 2 有两个 URL saml_profile_patset2 saml_profile_name2 saml_profile_url2、saml_profile_url3

在“选择实例”下,选择 NetScaler 1,然后单击“下一”。将出现“指定变量值”窗口。在此步骤中,您需要为上一步中定义的所有变量提供值。

指定可变场景

接下来,查看变量。

单击“下一步”,然后单击“完成”以运行作业。

作业运行后,它会显示在 基础结构 > 配置 > 配置作业下。

完成 NetScaler 1 的两个修复步骤后,按照相同的步骤修复 NetScaler 2 和 NetScaler 3。修复完成后,您可以运行按需扫描以查看修改后的安全状态。

修复 CVE-2020-8300 的漏洞