Identifizieren und Korrigieren von Sicherheitslücken für CVE-2021-22956
Im Citrix ADM Security Advisory Dashboard unterAktuelle CVEs <number of>ADC-Instanzen sind von allgemeinen Schwachstellen und Exposures (CVEs) betroffen, können Sie alle Instanzen sehen, die aufgrund dieser speziellen CVE anfällig sind. Um die Details der von CVE-2021-22956 betroffenen Instanzen zu überprüfen, wählen Sie CVE-2021-22956 und klicken Sie auf Betroffene Instanzen anzeigen.
Das Fenster “Von CVEs betroffene<number of>ADC-Instanzen” wird angezeigt. Hier sehen Sie die Anzahl und Details der ADC-Instanzen, die von CVE-2021-22956 betroffen sind.
Weitere Informationen zum Security Advisory Dashboard finden Sie unter Security Advisory.
Hinweis
Es kann einige Zeit dauern, bis der Scan des Sicherheitsberatungssystems abgeschlossen ist und die Auswirkungen von CVE-2021-22956 im Sicherheitsberatungsmodul widerspiegelt. Um die Auswirkungen früher zu erkennen, starten Sie einen Anforderungsscan, indem Sie auf Jetzt scannenklicken.
Identifizieren von CVE-2021-22956 betroffenen Instanzen
CVE-2021-22956 erfordert einen benutzerdefinierten Scan, bei dem der ADM Service eine Verbindung mit der verwalteten ADC-Instanz herstellt und ein Skript an die Instanz sendet. Das Skript wird auf der ADC-Instanz ausgeführt und überprüft die Parameter der Apache-Konfigurationsdatei (httpd.conf file) und die maximalen Clientverbindungen (maxclient), um festzustellen, ob eine Instanz verwundbar ist oder nicht. Die Informationen, die das Skript mit dem ADM Service teilt, sind der Schwachstellenstatus im booleschen Wert (true oder false). Das Skript gibt dem ADM Service auch eine Liste von Zählern für max_clients für verschiedene Netzwerkschnittstellen zurück, z. B. lokaler Host, NSIP und SNIP mit Verwaltungszugriff. Sie können einen detaillierten Bericht zu dieser Liste in der CSV-Datei sehen, die Sie auf der Registerkarte Scan-Protokolle auf der Seite Sicherheitsempfehlung herunterladen können.
Dieses Skript wird jedes Mal ausgeführt, wenn Ihre geplanten Scans auf Anforderung ausgeführt werden. Nachdem der Scan abgeschlossen ist, wird das Skript aus der ADC-Instanz gelöscht.
Korrigieren CVE-2021-22956
Für von CVE-2021-22956 betroffene ADC-Instanzen ist die Behebung ein zweistufiger Prozess. In der GUI können Sie unterAktuelle CVEs > ADC-Instanzen sind von CVEs betroffen, Schritt 1 und 2 sehen.
Die zwei Schritte beinhalten:
-
Upgrade der anfälligen ADC-Instanzen auf eine Version und einen Build, der das Update enthält.
-
Anwenden der erforderlichen Konfigurationsbefehle mithilfe der anpassbaren integrierten Konfigurationsvorlage in Konfigurationsaufträgen.
Unter Aktuelle CVEs > ADC-Instanzen, die von CVEs betroffen sind, sehen Sie zwei separate Workflows für diesen zweistufigen Standardisierungsprozess: Fortfahren zum Upgrade-Workflow und Weiter zum Workflow des Konfigurationsauftrags.
Schritt 1: Upgrade der anfälligen ADC-Instanzen
Um ein Upgrade der anfälligen Instanzen durchzuführen, wählen Sie die Instanzen aus und klicken Sie auf Fortfahren mit Der Upgrade-Workflow wird mit den bereits aufgefüllten anfälligen ADC-Instanzen geöffnet
Weitere Informationen zur Verwendung von Citrix ADM zum Aktualisieren von ADC-Instanzen finden Sie unter Erstellen eines ADC-Upgrade-Auftrags.
Hinweis
Dieser Schritt kann für alle anfälligen ADC-Instanzen sofort ausgeführt werden.
Schritt 2: Anwenden von Konfigurationsbefehlen
Nachdem Sie die betroffenen Instanzen aktualisiert haben, wählen Sie im Fenster <number of> Von CVEs betroffene ADC-Instanzen die von CVE-2021-2295 betroffene Instanz aus und klicken Sie auf Weiter zum Workflow des Konfigurationsauftrags. Der Workflow umfasst die folgenden Schritte.
- Anpassen der Konfiguration.
- Überprüfung der automatisch ausgefüllten betroffenen Instanzen.
- Angabe von Eingaben für Variablen für den Job.
- Überprüfung der endgültigen Konfiguration mit aufgefüllten Variableneingaben.
- Den Job ausführen.
Beachten Sie die folgenden Punkte, bevor Sie eine Instanz auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken:
-
Für eine ADC-Instanz, die von mehreren CVEs betroffen ist (z. B. CVE-2020-8300, CVE-2021-22927, CVE-2021-22920 und CVE-2021-22956): Wenn Sie die Instanz auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken, wird die integrierte Konfigurationsvorlage unter Konfiguration auswählen nicht automatisch ausgefüllt. Ziehen Sie die entsprechende Konfigurationsjob-Vorlage manuell unter Security Advisory Template in den Konfigurationsjob-Fensterbereich auf der rechten Seite.
-
Für mehrere ADC-Instanzen, die nur von CVE-2021-22956 betroffen sind: Sie können Konfigurationsjobs auf allen Instanzen gleichzeitig ausführen. Sie haben beispielsweise ADC 1, ADC 2 und ADC 3, und alle von ihnen sind nur von CVE-2021-22956 betroffen. Wählen Sie alle diese Instanzen aus und klicken Sie auf Weiter zum Workflow des Konfigurationsauftrags. Die integrierte Konfigurationsvorlage wird automatisch unter Konfiguration auswählenausgefüllt. Beziehen Sie sich auf das bekannte Problem NSADM-80913 in den Versionshinweisen.
-
Bei mehreren ADC-Instanzen, die von CVE-2021-22956 betroffen sind, und einem oder mehreren anderen CVEs (z. B. CVE-2020-8300, CVE-2021-22927 und CVE-2021-22920), bei denen die Standardisierung auf jeden ADC gleichzeitig angewendet werden muss: Wenn Sie diese Instanzen auswählen und auf Weiter zum Workflow des Konfigurationsauftragsklicken, wird ein Fehler angezeigt Es wird eine Meldung angezeigt, in der Sie aufgefordert werden, den Konfigurationsjob auf jedem ADC gleichzeitig auszuführen.
Schritt 1: Konfiguration wählen
Im Workflow des Konfigurationsauftrags wird die integrierte Konfigurationsbasisvorlage automatisch unter Konfiguration auswählen ausgefüllt.
Schritt 2: Wählen Sie die Instanz aus
Die betroffene Instanz wird automatisch unter Ausgewählte Instanzenaufgefüllt. Wählen Sie die Instanz aus. Wenn diese Instanz Teil eines HA-Paars ist, wählen Sie Auf sekundären Knoten ausführenaus. Klicken Sie aufWeiter.
Hinweis
Für ADC-Instanzen im Clustermodus unterstützt ADM mithilfe der ADM-Sicherheitsempfehlung die Ausführung des Konfigurationsauftrags nur auf dem CCO-Knoten (Cluster Configuration Coordinator). Führen Sie die Befehle auf Nicht-CCO-Knoten separat aus.
rc.netscaler wird über alle HA- und Clusterknoten hinweg synchronisiert, sodass die Standardisierung nach jedem Neustart dauerhaft ist.
Schritt 3: Variablenwerte angeben
Geben Sie die Werte der Variablen ein.
Wählen Sie eine der folgenden Optionen aus, um Variablen für Ihre Instanzen anzugeben:
Gemeinsame Variablenwerte für alle Instanzen: Geben Sie einen gemeinsamen Wert für die Variable ein max_client.
Eingabedatei für Variablenwerte hochladen: Klicken Sie auf Eingabeschlüsseldatei herunterladen, um eine Eingabedatei herunterzuladen. Geben Sie in der Eingabedatei Werte für die Variable max_client ein und laden Sie die Datei dann auf den ADM-Server hoch. Lesen Sie das bekannte Problem NSADM-80913 in den Versionshinweisen zu einem Problem mit dieser Option.
Hinweis
Für beide oben genannten Optionen ist der empfohlene Wert für
max_client30. Sie können den Wert entsprechend Ihrem aktuellen Wert festlegen. Sollte jedoch nicht Null sein, und sollte kleiner oder gleich max_client in der Datei/etc/httpd.confsein. Sie können den aktuellen Wert überprüfen, der in der Konfigurationsdatei des Apache HTTP-Servers/etc/httpd.conffestgelegt ist, indem Sie die ZeichenfolgeMaxClientsin der ADC-Instanz suchen
Schritt 4: Vorschau der Konfiguration
Zeigt eine Vorschau der in die Konfiguration eingefügten Variablenwerte an und klicken Sie auf Weiter.
Schritt 5: Führen Sie den Job aus
Klicken Sie auf Fertigstellen, um den Konfigurationsauftrag auszuführen.
Nachdem der Job ausgeführt wurde, wird er unter Infrastruktur > Konfiguration > Konfigurationsjobsangezeigt.
Nachdem Sie die beiden Korrekturschritte für alle anfälligen ADCs abgeschlossen haben, können Sie einen Anforderungsscan ausführen, um die überarbeitete Sicherheitslage zu überprüfen.