NetScaler 控制台服务

识别并修复 CVE-2021-22956 的漏洞

在 NetScaler 控制台安全公告控制面板中,在“当前 CVE”>“<number of>NetScaler 实例受常见漏洞和暴露 (CVE) 影响”下,您可以看到由于该特定 CVE 而易受攻击的所有实例。要查看受 CVE-2021-22956 影响的实例的详细信息,请选择 CVE-2021-22956,然后单击“查看受影响实例”。

CVE-2021-22927 和 CVE-2021-22920 的安全公告控制板

将 <number of>出现受 CVE 影响的 NetScaler 实例窗口。在这里,您可以看到受 CVE-2021-22956 影响的 NetScaler 实例的数量和详细信息。

受 CVE-2020-8300 影响的实例

有关安全公告控制板的更多信息,请参阅安全公告

注意

安全公告系统扫描可能需要一些时间才能得出结论并反映 CVE-2021-22956 在安全建议模块中的影响。要更快地查看影响,请单击“立即扫描”开始按需扫描。

识别受 CVE-2021-22956 影响的实例

CVE-2021-22956 需要定制扫描,其中 NetScaler 控制台与托管的 NetScaler 实例连接并将脚本推送到该实例。该脚本在 NetScaler 实例上运行,并检查 Apache 配置文件(httpd.conf file) 和最大客户端连接数(maxclient) 参数,以确定实例是否存在漏洞。该脚本与 NetScaler 控制台共享的信息是布尔值(真或假)的漏洞状态。该脚本还向 NetScaler 控制台返回了不同网络接口(例如本地主机、NSIP 和具有管理访问权限的 SNIP)的 max_clients 计数列表。您可以在 CSV 文件中看到该列表的详细报告,您可以从“安全公告”页面的“扫描日志”选项卡下载该文件。

每次运行预定的按需扫描时,此脚本都会运行。扫描完成后,该脚本将从 NetScaler 实例中删除。

修复 CVE-2021-22956

对于受 CVE-2021-22956 影响的 NetScaler 实例,补救过程分为两步。在 GUI 中,在“当前 CVE”>“NetScaler 实例受 CVE 影响”下,您可以看到第 1 步和第 2 步。

CVE-2021-22927 和 CVE-2021-22920 的补救措施

这两个步骤包括:

  1. 将易受攻击的 NetScaler 实例升级到具有修复程序的版本和版本。

  2. 在配置作业中使用可自定义的内置配置模板应用所需的配置命令。

在“当前 CVE> 受 CVE 影响的 NetScaler 实例”下,您可以看到此两步修复过程的两个独立工作流程:继续升级工作流程和继续配置作业工作流程。

修复工作流程

第 1 步:升级易受攻击的 NetScaler 实例

要升级有漏洞的实例,请选择实例,然后单击“继续”升级工作流程。升级流程在已填充易受攻击的 NetScaler 实例的情况下打开。

有关如何使用 NetScaler 控制台升级 NetScaler 实例的详细信息,请参见创建 NetScaler 升级任务

注意

对于所有易受攻击的 NetScaler 实例,可以立即执行此步骤。

步骤 2:应用配置命令

升级受影响的实例后,在 <number of> 受 CVE 影响的 NetScaler 实例窗口中,选择受 CVE-2021-22956 影响的实例,然后 单击继续配置作业流程。该工作流程包括以下步骤。

  1. 自定义配置。
  2. 查看自动填充的受影响实例。
  3. 为作业的变量指定输入。
  4. 查看填充变量输入的最终配置。
  5. 运行作业。

在选择实例并单击“继续配置作业工作流程”之前,请记住以下几点:

  • 对于受多个 CVE(例如 CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 和 CVE-2021-22956)影响的 NetScaler 实例:当您选择该实例并 单击“继续进行配置作业工作流程”时,内置配置模板不会自动填充在“选择配置”下。手动将安全公告模板下的相应配置作业模板拖放到右侧的配置作业窗格中。

  • 对于仅受 CVE-2021-22956 影响的多个 NetScaler 实例:您可以同时在所有实例上运行配置作业。例如,您有 NetScaler 1、NetScaler 2 和 NetScaler 3,它们都只受到 CVE-2021-22956 的影响。选择所有这些实例,然后单击“继续配置作业工作流程”,内置配置模板将自动填充在“选择配置”下。请参阅 发行说明中的已知问题 NSADM-80913。

  • 对于受 CVE-2021-22956 影响的多个 NetScaler 实例以及一个或多个其他 CVE(例如 CVE-2020-8300、CVE-2021-22927 和 CVE-2021-22920),这些实例需要同时对每个 NetScaler 进行补救:当您选择这些实例并 单击“继续配置作业流程”时,会出现一条错误消息,提示您一次在每个 NetScaler 上运行配置作业。

步骤 1:选择配置

在配置作业工作流中,内置配置基础模板会自动填充在“选择配置”下。

选择配置

步骤 2:选择实例

受影响的实例会在“选择实例”下自动填充。选择实例。如果此实例是 HA 对的一部分,请选择“在辅助节点上执行”。单击“下一步”。

选择实例

注意

对于群集模式下的 NetScaler 实例,使用安全公告,NetScaler 控制台仅支持在群集配置协调器 (CCO) 节点上运行配置作业。在非 CCO 节点上单独运行命令。

在所有 HA 和群集节点上同步 rc.netscaler,使修复在每次重启后持续存在。

步骤 3:指定变量值

输入变量值。

指定变量

选择以下选项之一为您的实例指定变量:

所有实例的常用变量值:输入变量 max_client 的通用值。

上载变量值的输入文件:单击“下载输入密钥文件”以下载输入文件。在输入文件中,输入变量的值max_client, 然后将文件上载到 NetScaler 控制台服务器。有关此选项的问题,请参阅 发行说明 中的已知问题 NSADM-80913。

注意

对于上述两个选项,建议 max_client 值均为 30。您可以根据您的当前值设置该值。但是,它不应为零,并且应小于或等于 /etc/httpd.conf 文件中设置的 max_client。您可以 通过在 NetScaler 实例中搜索字符串 MaxClients,检查在 Apache HTTP Server 配置/etc/httpd.conf文件中设置的当前值

步骤 4:预览配置

预览配置中已插入的变量值,然后单击“下一步”。

预览作业

步骤 5:运行作业

单击“完成”运行配置作业。

运行配置作业

作业运行后,它会显示在 基础结构 > 配置 > 配置作业下。

完成所有易受攻击的 NetScaler 实例的两个修复步骤后,您可以运行按需扫描以查看修改后的安全状况。

识别并修复 CVE-2021-22956 的漏洞