ADC

Notas de lanzamiento para la versión 13.0-67.43 de Citrix ADC

Este documento de notas de la versión describe las mejoras y los cambios, los problemas resueltos y conocidos que existen en la versión 13.0-67.43 de Citrix ADC.

Notas

  • Este documento de notas de la versión no incluye correcciones relacionadas con la seguridad. Para obtener una lista de correcciones y avisos relacionados con la seguridad, consulte el boletín de seguridad de Citrix.
  • 13.0-67.43 es una versión que reemplaza a 13.0-67.39. NSHELP-25322 y NSHELP-25443 son las correcciones adicionales de la versión de reemplazo.

Novedades

Las mejoras y los cambios que están disponibles en la compilación 13.0-67.43.

Autenticación, autorización y auditoría

Citrix Gateway

  • Se presenta el nuevo logotipo de Citrix.

    [CGOP-14440]

Citrix Web App Firewall

  • La longitud del nombre de todos los objetos de importación y la longitud del nombre del perfil aumentaron a 127 caracteres

    La longitud del nombre de los objetos de importación de Citrix Web App Firewall y la longitud del nombre del perfil ahora se han incrementado hasta un límite máximo de 127 caracteres. Anteriormente, la longitud del nombre solo se configuraba como máximo de 32 caracteres.

    [NSWAF-5992]

  • Contador de reglas de relajación para perfiles dinámicos

    Cuando el Web App Firewall de Citrix detecta una infracción, el usuario puede omitir la acción mediante reglas de relajación. Para controlar estas relajaciones, ahora tiene un contador de visitas de relajación. El contador realiza un seguimiento de los detalles estadísticos, como el número de veces que se produce una infracción en el dispositivo, el número de reglas de relajación aplicadas en el momento de la infracción y la última marca de tiempo aplicada.

    Sin embargo, el nuevo contador de visitas de relajación solo está disponible para los siguientes controles de seguridad:

    • Starturl
    • Denyurl
    • Secuencias de comandos entre sitios
    • Inyección SQL

    [NSWAF-5842]

  • Comprobación de la protección de inyección de comandos

    El perfil Citrix Web App Firewall ahora se ha mejorado con una nueva comprobación de protección para los ataques de inyección de comandos en la carga útil de JSON. Cuando la comprobación de seguridad de la inyección de comandos examina el tráfico JSON y detecta cualquier comando malintencionado, el dispositivo bloquea la solicitud o realiza la acción configurada.

    [NSWAF-5837]

  • Aleatorización de URL de captura de bots

    La técnica de captura de bots de Citrix ahora puede insertar una URL de captura de forma aleatoria o periódica en la respuesta del cliente. La URL parece invisible y no se puede acceder a ella si el cliente es un usuario humano. Sin embargo, si el cliente es un bot automatizado, se puede acceder a la URL y, cuando se accede a él, el atacante se clasifica como bot y se bloquea cualquier solicitud posterior del bot. La técnica de trampa es eficaz para bloquear los ataques de los bots.

    La URL de captura de bots se genera automáticamente y puedes configurar la longitud y el intervalo en los que se debe actualizar la URL. Si la URL de captura está configurada en un perfil, debe insertar solo esa URL. Además, esta técnica permite insertar la URL de captura para cada respuesta de los sitios web más visitados o de los sitios web visitados con frecuencia enlazando las URL del sitio web en el perfil. “

    [NSWAF-5774]

  • Atributo de cookie de SameSite para una comunicación web segura

    Con la reciente actualización del navegador, como Google Chrome 80, se ha producido un cambio en el comportamiento predeterminado entre dominios de las cookies. Como resultado, el atributo SameSite se establece como “Ninguno”, “Lax” o “Estricto” y, para el navegador Google Chrome, el valor predeterminado del atributo es Lax.

    De conformidad con la nueva directiva de cookies de SameSite del navegador, el perfil Citrix Web App Firewall se ha mejorado para admitir la configuración de los atributos de cookie de SameSite. Ahora puede habilitar el atributo de cookie SameSite y también configurar el atributo en cualquiera de las siguientes opciones.

    • SameSite=Ninguno. Indica que el navegador debe utilizar una cookie en el contexto de varios sitios solo en conexiones seguras.
    • SameSite=LAX. Indica que el navegador debe utilizar una cookie para las solicitudes del mismo dominio y, en el caso de varios sitios, solo los métodos HTTP seguros, como la solicitud “GET”, pueden utilizar la cookie.
    • sameSite=STRICT. Indica que la cookie solo se puede utilizar cuando el usuario solicita el dominio de forma explícita.

    [ NSWAF-5468 ]

Redes

  • Se agregó soporte para que NET_ADMIN ejecute Citrix ADC CPX multinúcleo

    Ahora puede usar la opción –cap-add=net_admin para ejecutar Citrix ADC CPX con un solo núcleo y varios núcleos en implementaciones en modo puente.

    [ NSNET-16016 ]

Plataforma

  • Configuración de un par VPX de alta disponibilidad con direcciones IP privadas en diferentes zonas de AWS

    Ahora puede implementar un par VPX de alta disponibilidad en AWS mediante direcciones IP privadas en diferentes zonas de AWS.

    [ NSPLAT-14757 ]

  • Compatibilidad con escalado VIP para la instancia Citrix ADC VPX en GCP

    Según sus necesidades, ahora puede añadir varias direcciones VIP (IP pública) a una instancia de Citrix ADC VPX implementada en GCP. Esto se admite tanto en implementaciones independientes como en implementaciones de alta disponibilidad. Anteriormente, la cantidad máxima de VIP que podías añadir dependía del límite de redes de GCP.

    [NSPLAT-14738]

  • Cambios en la contraseña de administrador predeterminada
    Si la contraseña está establecida en la contraseña de administrador (nsroot) predeterminada, los usuarios deberán cambiarla la primera vez que inicien sesión o al crear una instancia y, a continuación, guardar la configuración. La contraseña no se puede restablecer a la contraseña de administrador predeterminada.
    Este cambio se aplica a los siguientes dispositivos Citrix:

    • Instancias VPX alojadas en el dispositivo Citrix ADC SDX
    • Dispositivo Citrix ADC BLX
    • Dispositivos virtuales Citrix VPX que se alojan en las siguientes plataformas de virtualización y nube:
    • Citrix Hypervisor
    • VMware ESX
    • Microsoft Hyper-V
    • Linux KVM
    • Amazon Web Services
    • Google Cloud Platform

    [NSPLAT-14480]

  • Configurar un par de alta disponibilidad de Citrix ADC VPX en GCP mediante reglas de reenvío

    Ahora puedes implementar un par VPX de alta disponibilidad en Google Cloud Platform (GCP) mediante reglas de reenvío con instancias de destino en el backend. Las reglas de reenvío deben estar en la misma región que la instancia VPX y las instancias de destino deben estar en la misma zona que la instancia VPX. Tras la conmutación por error, el destino de la regla de reenvío se actualiza a la instancia de destino secundaria para que se reanude el tráfico.

    [NSPLAT-14378]

Sistema

  • Perfil HTTP integrado para el acceso de administración

    El dispositivo Citrix ADC ahora tiene un perfil HTTP integrado, “nshttp_default_internal_apps”, para el acceso de administración. El perfil está configurado para bloquear las solicitudes HTTP/0.9 y eliminar las solicitudes no válidas de acceso de administración. La configuración del perfil es la misma que la del perfil “nshttp_default_strict_validation” existente. Sin embargo, es recomendable que no cambie la configuración del perfil como se hizo en el perfil “nshttp_default_strict_validation”.

    [ NSBASE-10118 ]

  • Solicitud y reintento en el establecimiento de una conexión TCP SYN

    El reintento de la solicitud se aplica a otro caso de error. Si se recibe un restablecimiento del servidor de fondo durante el establecimiento de TCP SYN, el dispositivo no volverá a intentar el mismo servidor hasta que se agote el tiempo de espera de la conexión del cliente. En cambio, según el equilibrio de recarga, el dispositivo reenvía la solicitud al siguiente servidor de fondo disponible.

    [NSBASE-9610]

  • Compatibilidad con la limitación de tiempo y tamaño del búfer de respuesta gRPC

    En el caso de puente de gRPC, el dispositivo Citrix ADC almacena en búfer la respuesta del gRPC del servidor de fondo hasta que se reciba el tráiler de respuesta. Esto interrumpe las llamadas gRPC bidireccionales. Además, si la respuesta del gRPC es enorme, consume una cantidad significativa de memoria para almacenar la respuesta en búfer por completo. Para resolver estos problemas, puede configurar dos parámetros nuevos, grpcholdlimit y/o grpcholdtimeout, en el perfil HTTP. Al configurar ambos parámetros o alguno de los dos, el dispositivo detiene el almacenamiento en búfer y comienza a reenviar la respuesta incluso si se activa alguno de los límites del búfer (el tráiler no se recibe dentro del tamaño del búfer configurado o si se produce un tiempo de espera configurado).

    [NSBASE-9466]

Interfaz de usuario

  • Cambio de logotipo de Citrix

    Citrix cuenta ahora con un nuevo logotipo que refleja la transformación de su marca. La GUI de Citrix ADC y Citrix Gateway ahora reflejan el nuevo logotipo de Citrix.

    [NSUI-16210]

  • Funcionalidad de búsqueda personalizada para firmas de bots

    Ahora hay disponible una función de búsqueda personalizada en la página GUI de firmas de bots de Citrix ADC. Puede utilizar la opción de búsqueda para buscar contenido en el archivo de firmas.

    [NSUI-15992]

  • Las claves DSA están en desuso y ya no se admiten en un dispositivo Citrix ADC.

    [ NSUI-14778 ]

Problemas resueltos

Los problemas que se abordan en la compilación 13.0-67.43.

Autenticación, autorización y auditoría

  • En raras ocasiones, un dispositivo Citrix Gateway se bloquea si el dispositivo está configurado con la función “URL de VPN” con el tipo SSO como “automático”.

    [NSHELP-24667]

  • En algunos casos, la validación OTP de correo electrónico falla cuando un núcleo envía la solicitud OTP y otro núcleo recibe la solicitud de validación.

    [NSHELP-24442]

  • El dispositivo Citrix ADC deniega las solicitudes de inicio de sesión de los clientes móviles porque se produce un error en la validación del esquema de inicio de sesión. Debe utilizar el esquema OAuthToken_Username_password.xml en la configuración.

    [NSHELP-24318]

  • Se produce un error al iniciar sesión en un dispositivo Citrix ADC si se cumplen las siguientes condiciones.

    • El dispositivo está configurado para nFactor.
    • La directiva de esquema de inicio de sesión está vinculada a un servidor virtual de autenticación y el esquema de autenticación está configurado en “noschema”.

    [NSHELP-24259]

  • En raras ocasiones, el dispositivo Citrix ADC se bloquea si está configurado para la autenticación NTLM.

    [NSHELP-24236]

  • El escaneo QR de Citrix SSO no funciona en el servidor virtual VPN configurado en un puerto no predeterminado (443). Esto ocurre debido a un problema con la configuración OTP nativa.

    [NSHELP-24097]

  • En algunos casos, un dispositivo Citrix ADC deja de responder mientras realiza algunas tareas en segundo plano relacionadas con la autenticación de usuarios.

    [NSHELP-23883]

  • En algunos casos, un dispositivo Citrix ADC deja de responder cuando se intenta iniciar sesión único.

    [NSHELP-23632]

  • En raras ocasiones, un dispositivo Citrix ADC se bloquea al gestionar la solicitud de autenticación si se presenta un caso DUP-FREE (intento de liberar un recurso que ya está libre).

    [NSHELP-23565]

  • Un dispositivo Citrix ADC no puede extraer todos los grupos de un caso LDAP para un usuario de AD cuando el número de grupos a los que pertenece el usuario supera el límite del tamaño del grupo.

    [NSHELP-22959]

  • El inicio de sesión único (SSO) con los siguientes métodos de autenticación no funciona si la configuración de SSO en Citrix ADC y Citrix Gateway solo está habilitada a nivel global y no por nivel de tráfico.

    • Autenticación básica de Citrix AG
    • Autenticación Kerberos
    • Autenticación de portadores de OAuth

    [ NSAUTH-9166 ]

  • En algunos casos, el dispositivo Citrix ADC se bloquea si existe alguna sesión de autenticación, autorización y auditoría caducada durante la limpieza de la configuración.

    [NSAUTH-7767]

Administración de bots

  • El dispositivo Citrix ADC puede bloquearse si la técnica de huellas dactilares del dispositivo bot está inhabilitada mientras el tráfico fluye hacia el dispositivo.

    [ NSBOT-156 ]

  • Un dispositivo Citrix ADC puede fallar si un perfil de administración de bots está configurado con CAPTCHA como acción de bot.

    [NSBOT-148]

Dispositivo Citrix ADC SDX

  • En un dispositivo Citrix ADC SDX que ejecute la versión 13.0, compilación 64.x o 12.1, compilación 58.x, el usuario no puede descargar la copia de seguridad del dispositivo.

    [NSSVM-3952]

  • Es posible que no se pueda acceder a la GUI del SDX después de actualizar un dispositivo Citrix ADC SDX en el que estén configurados LA y CLAG de administración.

    [NSHELP-24671]

  • Los detalles del usuario de SNMP no se modifican si se cambia el perfil del dispositivo de una instancia de ADC aprovisionada en un dispositivo Citrix ADC SDX.

    [NSHELP-24488]

  • En un dispositivo Citrix ADC SDX, no se puede modificar una instancia de ADC configurada con una dirección IPv6.

    [NSHELP-24256]

  • No puede incluir un hash (%23) en las cadenas comunitarias para los administradores de SNMP y los destinos de captura configurados en un dispositivo Citrix ADC SDX.

    [NSHELP-23989]

  • En un dispositivo Citrix ADC SDX, es posible que se pierda la información de agregación de enlaces de las instancias de ADC debido a una condición de carrera entre los redescubrimientos simultáneos de instancias de ADC.

    [NSHELP-23849]

  • Si se aprovisionó una instancia VPX en una compilación anterior de la versión 11.1, las operaciones de actualización de la instancia VPX mediante la CLI de SDX fallan si se cumplen las siguientes condiciones:

    • Se seleccionó la opción “Shell/SFTP/SCP Access”.
    • No se seleccionó la opción “Agregar administración de instancias”.
      Estas opciones estaban disponibles en “Administración de instancias”. “

    [NSHELP-23683]

  • En algunos casos, el Servicio de administración no lee correctamente las licencias después de reiniciar un dispositivo Citrix ADC SDX.

    [NSHELP-23619]

Citrix Gateway

  • El dispositivo Citrix Gateway puede bloquearse durante el cierre de una sesión si intenta eliminar la conexión dos veces de la sesión.

    [NSHELP-25443]

  • El dispositivo Citrix Gateway se bloquea durante el inicio de sesión de transferencia si la solicitud llega a un núcleo en el que se ha agotado el tiempo de espera de la sesión anterior.

    [NSHELP-25322]

  • Los usuarios no pueden acceder a los sitios web si se cumplen las siguientes condiciones:

    • El servidor proxy tiene una comprobación estricta del SNI.
    • Se accede al servidor de fondo a través de un proxy de salida para una VPN sin cliente o SecureBrowse.
    • El parámetro BackendServersNI está activado.

    [NSHELP-24903]

  • La autenticación SAML no funciona como se esperaba si el servidor virtual está configurado en un puerto personalizado.

    [NSHELP-24842]

  • En raras ocasiones, el dispositivo Citrix ADC se bloquea al imprimir los registros de depuración si la sesión de conexión iniciada por el servidor ya está liberada.

    [NSHELP-24581]

  • Si inicia sesión en Citrix Gateway y accede a Microsoft Excel a través de una VPN sin cliente de SharePoint, se cierra la sesión creada para Microsoft Excel.

    [NSHELP-24074]

  • En raras ocasiones, el dispositivo Citrix Gateway puede bloquearse si la dirección IP (IIP) de la intranet está habilitada y hay conexiones a la dirección IIP iniciadas por el servidor.

    [ NSHELP-23819 ]

  • El complemento de Windows muestra el mensaje No se puede acceder a la puerta de enlace si la máquina cliente tiene varias instancias de los adaptadores virtuales de acceso directo WiFi y Hyper-V.

    [NSHELP-23794]

  • Las caídas de paquetes se observan cuando un servidor de aplicaciones UDP envía paquetes que son más grandes que la MTU y si los paquetes están fragmentados.

    [NSHELP-23770]

  • El dispositivo Citrix ADC puede bloquearse durante el cierre de sesión de autenticación, autorización y auditoría si el usuario inicia sesión desde Citrix Workspace.

    [NSHELP-23623]

  • El dispositivo Citrix Gateway puede bloquearse al iniciar una aplicación si se produce un error en la resolución del FQDN del VDA.

    [NSHELP-22454]

  • Cuando accede a Microsoft Excel a través de SharePoint, una VPN sin cliente, no puede editar el archivo de Excel.

    [CGOP-15123]

  • Se ha eliminado la compatibilidad con la versión 2 del protocolo CredSSP. Los sistemas operativos Windows solo admiten las versiones 5 y 6 del protocolo CredSSP.

    [CGOP-14308]

Citrix Web App Firewall

  • El descriptor de archivo se filtra en aslearn al mostrar algunos datos de XML Learn.

    [NSWAF-6648]

  • Compatibilidad con “cs7” en los mensajes de registro de CEF

    Los mensajes de registro del formato de eventos comunes (CEF) de Citrix Web App Firewall ahora incluyen un parámetro más, “cs7”, para el nombre de la expresión del registro de auditoría.

    [NSWAF-6593]

  • En la configuración de un clúster, aparece un mensaje de error denominado “Error de comunicación con aslearn” cuando el motor de aprendizaje intenta ver y restablecer los datos aprendidos.

    [NSHELP-24584]

  • Un dispositivo Citrix ADC puede bloquearse debido a un contexto de transmisión nulo en el procesamiento de XML y a que el parámetro “MultipleHeaderAction” se establece como “registro”.

    [NSHELP-24549]

  • Un dispositivo Citrix ADC elimina el código de estado de la respuesta si se observan los siguientes problemas:

    • Falta la frase por la que falta y
    • El código de estado no va seguido de un espacio.

    [NSHELP-24489]

  • En la configuración de un clúster, no puede modificar ni eliminar los rfcprofiles del comando set o rm appfw rfcprofile.

    [NSHELP-24222]

  • Es posible que un dispositivo Citrix ADC se bloquee durante la comprobación de validación XML de Web App Firewall.

    [NSHELP-23562]

Equilibrio de carga

  • Durante la sincronización en tiempo real de GSLB, el procesamiento continuo de los comandos de configuración de GSLB puede provocar que los comandos se envíen a los sitios subordinados en un orden incorrecto.

    [NSHELP-23934]

  • Cuando GSLB está configurado en particiones de administración, el comando sync gslb config -ForceSync puede eliminar cualquier enlace de clave de certificado a los servicios SSL específicos de la dirección IP del sitio de GSLB.

    [NSHELP-23203]

  • Al actualizar el dispositivo Citrix ADC a la versión 12.0, compilación 63.13, es posible que vea algunas entradas de configuración duplicadas para los grupos de persistencia de equilibrio de carga. Por ejemplo, el comando “show running config” podría mostrar el comando “add lb group” varias veces. Esto es solo un problema de visualización y no afecta a la funcionalidad. Sin embargo, el comando “show running config” puede tardar un poco más de lo habitual en ejecutarse.

    [NSHELP-23050]

  • Se produce una conmutación por error de alta disponibilidad en un dispositivo Citrix ADC si se cumplen todas las condiciones siguientes:

    • Los servicios enlazados a un servidor virtual de equilibrio de carga SIP no están vinculados a él.
    • Las conexiones del servidor virtual de equilibrio de carga SIP no se vacían por completo.
    • Las solicitudes de los clientes se reciben en estas conexiones.

    [NSHELP-22589]

  • El dispositivo Citrix ADC puede fallar en raras ocasiones cuando se trunca un valor entero tras una serie de operaciones relacionadas con el identificador de transmisión.

    [NSHELP-22489]

Redes

  • Tras una actualización a la versión 58.x de Citrix ADC 12.1, cualquier error de propagación de un comando desde el nodo CCO podría provocar un error de propagación completo. Como resultado, los comandos adicionales pueden fallar desde el nodo CCO hasta los nodos que no son CCO.

    [NSNET-18028]

  • En una configuración de partición de administración, la asignación de memoria puede fallar al ejecutar el comando “set” durante una partición incorrecta del recurso de memoria.

    [ NSNET-17719 ]

  • Si ejecuta el comando set appflow en una configuración de clúster, es posible que no pueda formar un clúster.

    [NSHELP-24220]

  • Se observan los siguientes problemas relacionados con las cadenas comunitarias de BGP en el dispositivo Citrix ADC:

    • Cuando el dispositivo recibe una cadena comunitaria de BGP x:65535, la sesión de BGP se desconecta.
    • Cuando la función “bgp extended asn” no está habilitada, el daemon de BGP no gestiona la combinación del atributo AS4_PATH y ciertas cadenas de la comunidad de la manera deseada. Este manejo incorrecto provoca el bloqueo del daemon BGP.

    [NSHELP-24119]

  • En una configuración de alta disponibilidad, es posible que los paquetes de latidos de HA se pierdan durante la operación de “aplicar ACL” de algunas reglas de ACL.

    [NSHELP-23663]

  • En una configuración de alta disponibilidad en modo INC, las sesiones de BFD se pierden tras una conmutación por error.

    [NSHELP-23648]

  • Es posible que la configuración de BFD no se aplique a un dispositivo Citrix ADC después de reiniciar por completo el dispositivo varias veces.

    [NSHELP-23471]

  • Tras entrar y salir del shell VTYSH de un dispositivo Citrix ADC, es posible que se elimine el enlace simbólico de ‘/nsconfig/syslog.conf’ en ‘/etc/syslog.conf’. Como resultado, los cambios en ‘/nsconfig/syslog.conf’ no se reflejan en ‘/etc/syslog.conf’.

    [NSHELP-23200]

  • Un dispositivo Citrix ADC puede bloquearse durante la implementación si se cumplen las siguientes condiciones:

    • El TCP multiruta (MPTCP) está habilitado con MBF y PMTUD
    • Se recibe el tráfico MPTCP y la respuesta provoca el error ICMP Fragmentation Needed.

    [ NSHELP-22418 ]

  • Al añadir una interfaz secundaria con una MTU gigante al canal de agregación de enlaces que se utiliza como placa base, aparece incorrectamente el siguiente mensaje de advertencia:

    “La MTU de una interfaz de placa base debe ser lo suficientemente grande como para gestionar todos los paquetes. Debe ser igual al (valor MTU). Si el valor recomendado no se puede configurar, revise la MTU de las interfaces jumbo. “

    Esto es solo un problema de visualización y no afecta a la funcionalidad.

    [NSHELP-20794]

Plataforma

  • La actualización de un dispositivo Citrix ADC SDX falla por falta de espacio.

    [NSHELP-24066]

  • Es posible que el Citrix ADC SDX 15000-50G, en una operación de reinicio, no se reinicie por completo si todas las interfaces de 10 G y 50 G están configuradas como canales LACP con 9000 MTU. Las interfaces 50G también pueden terminar desapareciendo después del reinicio.

    [NSHELP-23104]

  • La solicitud de la API NITRO o el acceso a la GUI a un dispositivo Citrix ADC fallan si el dispositivo permanece inactivo debido a la actividad de administración a través de HTTP (S) durante más de seis días.

    [NSHELP-22849]

Directivas

  • El campo de destino de la acción de respuesta del tipo de acción “NOOP” no se guarda en el archivo de configuración (ns.conf). Como resultado, al reiniciar el dispositivo, se produce una pérdida de configuración.

    [NSHELP-23772]

  • Aparece un mensaje de error “El directorio no existe” en la página HTML de importación de objetos de página HTML tras actualizar la versión 11.1, compilación 63.15 del dispositivo Citrix ADC.

    [NSHELP-22826]

  • Un dispositivo Citrix ADC podría bloquearse si configura la función MATCHES_LOCATION () en una expresión de directiva e inicia nstrace mediante una expresión de filtro.

    [NSHELP-22687]

  • El mensaje de error que aparecía cuando se producía un error en el espacio de nombres XML no era claro ni lo suficientemente descriptivo como para indicar a los usuarios cómo solucionar el problema.

    [NSHELP-18283]

SSL

  • En raras ocasiones, un dispositivo Citrix ADC se bloquea si se cumplen las siguientes condiciones:

    • Un servidor virtual SSL recibe un mensaje de saludo del cliente con el encabezado del registro SSL dividido en dos o más paquetes TCP.
    • Una directiva vinculada al saludo del cliente con una acción de reenvío especificada devuelve true.
    • La suma de verificación TCP del paquete, que completa el encabezado del registro del mensaje Client Hello, contiene el patrón 0xXx 0x16.

    [NSHELP-23754]

Sistema

  • Un dispositivo Citrix ADC puede bloquearse si AppFlow se habilita una vez establecida la conexión del lado del servidor.

    [NSHELP-24546]

  • Si el módulo de reescritura o el encabezado de seguridad de transporte estricta (HSTS) HTTP modifican un paquete y lo dividen en dos, el sistema de prevención de intrusiones (IPS) libera el segundo paquete. Como resultado, se corrompe el flujo de paquetes al cliente y, por lo tanto, se permite que solo se reenvíe una respuesta parcial al cliente.

    [NSHELP-24294]

  • Un dispositivo Citrix con el parámetro de encadenamiento de conexiones activado podría bloquearse si se cumplen las siguientes condiciones:

    • El paquete entrante tiene opciones de TCP de más de 20 bytes.
    • El dispositivo intenta insertar 20 bytes adicionales, lo que provoca un desbordamiento de TCP.

    [NSHELP-23322]

  • Es posible que el dispositivo Citrix ADC MPX 26000-100G deje de responder si el proceso agregador se vuelve inestable.

    [ NSBASE-11747 ]

Interfaz de usuario

  • La opción “Solo descifrar” de cookie está mal escrita en la página GUI de configuración de coherencia de cookies.

    [NSUI-16857]

  • Al editar una regla de relajación en la página GUI del perfil de Web Application Firewall, aparece un mensaje de error en la parte inferior de la página. El error se produce debido a un problema de marco interno.

    [NSUI-16806]

  • En una configuración de clúster, la función “Administración de bots” no aparece en Seguridad en el menú de navegación.

    [NSUI-16796]

  • Es posible que la GUI de Citrix ADC no muestre el botón Guardar y actualizar en el navegador Microsoft Internet Explorer.

    [NSHELP-24774]

  • Aparece un mensaje de error WSI intermitente. Falta el argumento [Nombre del perfil] en la GUI de Citrix ADC cuando el dispositivo Citrix ADC invoca la API “appfwlearningdata” para lo siguiente.

    • XMLDOS
    • Archivo XML adjunto
    • Verificación WSI

    [NSHELP-24648]

  • Se observa el siguiente comportamiento tanto en la configuración del clúster como en la de alta disponibilidad:
    • En la configuración de un clúster, un archivo eliminado de la ruta “/nsconfig/ssl” del CLIP no se refleja en el nodo que no es de CCO ni siquiera después de la sincronización.
    • En una configuración de alta disponibilidad, un archivo eliminado de la ruta “/nsconfig/ssl” del nodo principal no se refleja en el nodo secundario ni siquiera después de la sincronización.

    [NSHELP-24578]

  • La GUI de Citrix ADC muestra una cantidad menor de objetos en caché en comparación con la interfaz de comandos.

    [NSHELP-24337]

  • Tras una actualización a Citrix ADC 13.0 build 56.x, los evaluadores de expresiones regulares de Citrix Web App Firewall no funcionan como se esperaba.

    [NSHELP-24212]

  • La GUI de Citrix ADC no muestra los datos estadísticos “Top CLIENT.UDP.DNS.DOMAIN” en formato gráfico para el identificador de flujo seleccionado.

    [NSHELP-23777]

  • Tras ejecutar el comando “saveconfig - all”, el último tiempo guardado para las particiones de administración no se actualiza con precisión.

    [NSHELP-23740]

  • La sincronización en tiempo real de la configuración de GSLB desde el sitio maestro a los sitios subordinados no se produce cuando se ejecuta el comando “set cs policy”.

    [NSHELP-23393]

  • En un dispositivo Citrix ADC, HTTPD puede volcar el núcleo al procesar las llamadas a la API de NITRO.

    [NSHELP-23208]

  • En la GUI de Citrix ADC, la página de perfiles de Web App Firewall no incluye las opciones de navegación siguientes ni anteriores para ver más de 25 perfiles en el panel de listas.

    Navegación: Seguridad->Citrix Web App Firewall->Perfiles

    [NSHELP-22622]

  • La herramienta de diferencia de configuración “nsconfigaudit” no mantiene el orden de los comandos dentro del mismo grupo de recursos al generar los comandos correctivos.

    [NSHELP-21791]

  • En un dispositivo Citrix ADC MPX, para hacer la transición de la licencia de capacidad agrupada a una licencia perpetua, primero debe eliminar la configuración de licencias agrupadas y, a continuación, eliminar la licencia de capacidad agrupada.

    [ NSCONFIG-4167 ]

Problemas conocidos

Los problemas que existen en la versión 13.0-67.43.

Autenticación, autorización y auditoría

  • No puede anular el atributo de grupo de “memberof” en el servidor LDAP cuando se configura mediante la GUI de Citrix ADC.

    [NSHELP-26199]

  • Un dispositivo Citrix ADC no autentica los intentos de inicio de sesión con contraseñas duplicadas y evita los bloqueos de cuentas.

    [ NSHELP-563 ]

  • LoginSchema de DualAuthPushOrOTP.xml no aparece correctamente en la pantalla del editor de esquemas de inicio de sesión de la GUI de Citrix ADC.

    [ NSAUTH-6106 ]

  • El perfil proxy ADFS se puede configurar en una implementación de clúster. El estado de un perfil proxy se muestra incorrectamente en blanco al ejecutar el siguiente comando.
    show adfsproxyprofile <profile name>

    Solución temporal: Conéctese al Citrix ADC activo principal del clúster y ejecute el comando show adfsproxyprofile <profile name>. Mostraría el estado del perfil de proxy.

    [ NSAUTH-5916 ]

  • Es posible que vea el mensaje No existe tal directiva en la página nFactor Flow de nFactor Visualizer cuando intente desvincular una directiva de un factor. La opción de desvincular funciona como se esperaba.

    [NSAUTH-5821]

Almacenamiento en caché

  • Es posible que un dispositivo Citrix ADC se bloquee si la función Almacenamiento en caché integrado está habilitada y el dispositivo tiene poca memoria.

    [ NSHELP-22942 ]

Citrix Gateway

  • El dispositivo Citrix Gateway se bloquea cuando una conexión iniciada por el servidor envía paquetes de datos una vez cerrada la conexión.

    [NSHELP-26431]

  • La página de inicio de sesión de Citrix Gateway muestra un error que indica que el inicio de sesión ha fallado si se cumple la siguiente secuencia de condiciones. El error aparece incluso si el usuario no ha intentado iniciar sesión de nuevo.

    1. No se puede iniciar sesión en Citrix Gateway.
    2. El inicio de sesión en Citrix Gateway se realiza correctamente.
    3. El usuario cierra la sesión.

    [NSHELP-25157]

  • Gateway Insight no muestra información precisa sobre los usuarios de VPN.

    [ NSHELP-23937 ]

  • Los errores de inicio falsos de las aplicaciones se informan en Gateway Insight. Los errores de inicio se notifican cuando no se inicia ninguna aplicación o escritorio.

    [NSHELP-23047]

  • El dispositivo Citrix ADC deja de responder si se cumplen las siguientes condiciones:

    • DTLS está activado.
    • La multiplexación UDP utiliza un canal DTLS y bombea el tráfico a una velocidad alta.

    [NSHELP-22987]

  • A veces, al navegar por los esquemas, aparece el mensaje de error “No se puede leer la propiedad ‘tipo’ indefinida”.

    [ NSHELP-21897 ]

  • Al agregar un servidor virtual de autenticación mediante el asistente de XenApp y XenDesktop, se produce un error al probar la conectividad de ese servidor de autenticación.

    [CGOP-16792]

  • El inicio de sesión de transferencia no funciona si se cumplen las dos condiciones siguientes:

    • La autenticación nFactor está configurada.
    • El tema Citrix ADC está configurado como Predeterminado.

    [CGOP-14092]

  • El informe de Gateway Insight muestra incorrectamente el valor “Local” en lugar de “SAML” en el campo Tipo de autenticación para errores de SAML.

    [ CGOP-13584 ]

  • En una configuración de alta disponibilidad, durante la conmutación por error de Citrix ADC, el recuento de SR aumenta en lugar del recuento de conmutación por error en Citrix ADM.

    [ CGOP-13511 ]

  • Al aceptar conexiones de host local desde el explorador web, el cuadro de diálogo Aceptar conexión para macOS muestra el contenido en inglés independientemente del idioma seleccionado.

    [ CGOP-13050 ]

  • El texto “Página de inicio” de la Aplicación Citrix SSO > Página de inicio aparece cortado en algunos idiomas.

    [ CGOP-13049 ]

  • Aparece un mensaje de error al agregar o modificar una directiva de sesión desde la GUI de Citrix ADC.

    [ CGOP-11830 ]

  • En Outlook Web App (OWA) 2013, al hacer clic en Opciones en el menú Configuración, aparece un cuadro de diálogo Error crítico. Además, la página deja de responder.

    [ CGOP-7269 ]

Equilibrio de carga

  • En una configuración de alta disponibilidad, es posible que las sesiones de suscriptor del nodo principal no se sincronicen con el nodo secundario. Este es un caso raro.

    [ NSLB-7679 ]

  • Es posible que un dispositivo Citrix ADC se bloquee al procesar un paquete de protocolo de inicio de sesión (SIP) no válido.

    [NSHELP-26202]

  • Cuando un servidor virtual de conmutación de contenido recibe una solicitud HTTPS, la cookie más grande de la solicitud HTTPS provoca un desbordamiento del búfer y la corrupción de la pila cuando se cumplen las siguientes condiciones:

    • El formato de la cookie es incorrecto.
    • La longitud de la cookie es superior a 32 bytes.

    [NSHELP-25932]

  • Al modificar la dirección IP del servidor de fondo de un servidor cuyo nombre no es el mismo que su dirección IP, es posible que no pueda guardar la configuración completa. Este es un caso poco frecuente y puede ocurrir si la memoria del dispositivo Citrix ADC está baja.

    [NSHELP-24329]

  • La generación de alarmas SNMP puede retrasarse si se produce un error en la sincronización de la configuración del sitio maestro con los sitios subordinados.

    [ NSHELP-23391 ]

Redes

  • Cuando aumenta la cantidad de archivos de respaldo de newnslog, puede provocar una reducción del espacio en disco para una instancia CPX de Citrix ADC en ejecución durante un período de tiempo. Con la variable de entorno NEWNSLOG_MAX_FILENUM, puede controlar la cantidad de archivos de respaldo. Al establecer el valor de la variable de entorno en 10, puede limitar el número máximo de archivos de respaldo de newnslog a 10.

    [ NSNET-20261 ]

  • Un dispositivo Citrix ADC BLX ahora admite la función de protocolo de enrutamiento dinámico OSPF (OSPFv3) IPv6 de Citrix ADC. Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html.

    [NSNET-19567]

  • Un dispositivo Citrix ADC BLX en modo DPDK no detecta una interfaz si la ha enlazado a DPDK en estado INACTIVO.

    Solución alternativa: No enlace las interfaces DOWN a DPDK.

    [ NSNET-16561 ]

  • Las siguientes operaciones de interfaz no son compatibles con un dispositivo Citrix ADC BLX:

    • Disable
    • Enable
    • Restablecer

    [ NSNET-16559 ]

  • Un dispositivo Citrix ADC puede bloquearse si se dan las siguientes condiciones:

    • La configuración de equilibrio de carga de enlaces IPv6 (LLB6) tiene habilitada la opción de persistencia.
    • Se crean algunas conexiones ficticias de IPv6 para esta configuración de LLB6.

    [NSHELP-25695]

  • Al enviar configuraciones a las instancias del clúster mediante un StyleBook, los comandos fallan y aparecen el mensaje de error “Falló la propagación del comando”.
    En caso de errores sucesivos, el clúster conserva la configuración parcial.
    Solución alternativa:

    1. Identifique los comandos fallidos en el registro.
    2. Aplique manualmente los comandos de recuperación a los comandos fallidos.

    [NSHELP-24910]

Plataforma

  • En un dispositivo Citrix ADC SDX 15000-50G, en caso de un breve aumento del tráfico de datos no dirigido a ninguna de las instancias de ADC VPX, puede producirse el siguiente problema:

    • El enlace LACP de los puertos 10G puede parpadear de forma intermitente o dejar de funcionar permanentemente.

    Solución temporal:

    1. Descubra el puerto ETHX interno correspondiente al puerto 10G
    2. Ejecute el siguiente comando en la línea de comandos de Citrix Hypervisor: ethtool -G ethX rx 4096 tx 512
    3. Revise el perfil de tráfico para bloquear el tráfico no deseado en el lado del conmutador

    [NSHELP-25561]

  • De forma predeterminada, el monitor de alta disponibilidad (HAMON) y el latido de HA están inhabilitados en una interfaz de administración configurada como interfaz de administración interna. Además, los latidos de HAMON y HA no se pueden habilitar en esta interfaz.
    Más adelante, si se vuelve a configurar la misma interfaz como interfaz de administración y se reinicia la instancia VPX, las opciones de latidos de HAMON y HA seguirán inhabilitadas.
    Sin embargo, ahora puede habilitar estas opciones manualmente para evitar problemas con la configuración de HA.

    [NSHELP-21803]

Directivas

  • Las conexiones pueden bloquearse si el tamaño de los datos de procesamiento es superior al tamaño del búfer TCP predeterminado configurado.

    Solución temporal: Establezca el tamaño del búfer TCP en el tamaño máximo de los datos que deben procesarse.

    [ NSPOLICY-1267 ]

  • El siguiente problema puede provocar una conmutación por error en una configuración de alta disponibilidad:

    Si muchos paquetes que no son HTTP ni TCP se ponen en cola esperando a ser gestionados después de que se haya bloqueado su procesamiento.

    [NSHELP-23506]

SSL

  • En un clúster heterogéneo de dispositivos Citrix ADC SDX 22000 y Citrix ADC SDX 26000, se produce una pérdida de configuración de entidades SSL si se reinicia el dispositivo SDX 26000.

    Solución temporal:

    1. En el CLIP, inhabilite SSLv3 en todas las entidades SSL nuevas y existentes, como servidores virtuales, servicios, grupos de servicios y servicios internos. Por ejemplo: set ssl vserver <name> -SSL3 DISABLED.
    2. Guarde la configuración.

    [ NSSSL-9572 ]

  • El comando Actualizar no está disponible para los siguientes comandos de adición:

    • agregar aplicación azure
    • add azure keyvault
    • agregar ssl certkey con la opción hsmkey

    [ NSSSL-6484 ]

  • No se puede agregar un objeto de Azure Key Vault si ya se ha agregado un objeto de autenticación de Azure Key Vault.

    [ NSSSL-6478 ]

  • Puede crear varias entidades de la aplicación Azure con el mismo ID de cliente y secreto de cliente. El dispositivo Citrix ADC no devuelve ningún error.

    [ NSSSL-6213 ]

  • El siguiente mensaje de error incorrecto aparece al quitar una clave HSM sin especificar KEYVAULT como tipo HSM.
    ERROR: actualización de crl inhabilitada

    [ NSSSL-6106 ]

  • La actualización automática de claves de sesión aparece incorrectamente como inhabilitada en una dirección IP de clúster (esta opción no se puede inhabilitar).

    [ NSSSL-4427 ]

  • Si intenta cambiar el protocolo SSL o el cifrado del perfil SSL, aparece un mensaje de advertencia incorrecto, titulado “Advertencia: no hay cifrados utilizables configurados en el servidor o servicio SSL”.

    [ NSSSL-4001 ]

  • En una configuración de clúster, es posible que se observen los siguientes problemas:

    • Falta el comando para el par de claves de certificado predeterminado vinculado a los servicios internos SSL del CLIP. Sin embargo, si actualiza desde una versión anterior, es posible que tenga que vincular el par de claves de certificado predeterminado a los servicios internos SSL afectados en el CLIP.
    • Discrepancia de configuración entre el CLIP y los nodos del comando set predeterminado para los servicios internos.
    • Falta el comando default cipher bind para las entidades SSL en el resultado del comando show running config ejecutado en un nodo. La omisión es solo un problema de visualización y no tiene ningún impacto funcional. El enlace se puede ver mediante el comando show ssl <entity> <name>.

    [ NSHELP-25764 ]

  • En una configuración de clúster, no se permiten cambios en la configuración del certificado si se elimina algún archivo de certificado o clave.

    [NSHELP-24913]

Interfaz de usuario

  • El asistente Crear/Supervisar CloudBridge Connector podría dejar de responder o no configurar un conector de cloudbridge.

    Solución temporal: Configure los conectores de Cloudbridge agregando perfiles IPSec, túneles IP y reglas de PBR mediante la GUI o CLI de Citrix ADC.

    [ NSUI-13024 ]

  • Una vista de persistencia del servidor virtual de equilibrio de carga no muestra todos los parámetros al editar una configuración de persistencia de servidor virtual existente.

    [NSHELP-25965]

  • En la configuración de un clúster, se observa un retraso cuando se aprovisiona una configuración enorme (por ejemplo, 100 direcciones IP virtuales de equilibrio de carga enlazadas a un perfil de Citrix Web App Firewall con múltiples directivas de respuesta y patsets IP) en todos los nodos del clúster.

    [NSHELP-25458]

  • El botón Actualizar no funciona al comprobar las sesiones de transmisión (AppExpert > Action Analytics > Stream Identifier) en la GUI.

    [NSHELP-24195]

  • La carga y adición de un archivo de lista de revocación de certificados (CRL) produce un error en la configuración de una partición de administración.

    [ NSHELP-20988 ]

  • Un dispositivo Citrix ADC no admite la adición de archivos CRL de más de 2 MB mediante las API de NITRO.

    [NSHELP-20821]

  • En un dispositivo Citrix ADC BLX, es posible que la ficha “Informes” de la GUI no funcione como se esperaba.

    [ NSCONFIG-4877 ]

  • Al cambiar una versión 13.0-71.x de un dispositivo Citrix ADC a una versión anterior, es posible que algunas API de Nitro no funcionen debido a los cambios en los permisos del archivo.

    Solución alternativa: cambie el permiso de “/nsconfig/ns.conf” a 644.

    [ NSCONFIG-4628 ]

  • La conexión entre la instancia ADC y el servicio ADM se pierde cuando se cumplen las siguientes condiciones:

    • La instancia se agrega al servicio ADM mediante un agente integrado.
    • La instancia se actualiza mediante la opción -Y o desde la GUI de ADM. En ambos casos, el agente integrado no se reinicia. La opción -Y proporciona Sí como respuesta a todas las preguntas relacionadas con la actualización que aparecen en la CLI o la GUI.

    [ NSCONFIG-4368 ]

  • A veces, las firmas del firewall de la aplicación tardan mucho en sincronizarse con los nodos que no son de CCO. Como resultado, los comandos que utilizan estos archivos pueden fallar.

    [ NSCONFIG-4330 ]

  • Si usted (administrador del sistema) realiza todos los pasos siguientes en un dispositivo Citrix ADC, es posible que los usuarios del sistema no inicien sesión en el dispositivo Citrix ADC degradado.

    1. Actualice el dispositivo Citrix ADC a una de las compilaciones:
    • 13.0 52.24 compilación
    • 12.1 57,18 compilación
    • 11.1 65.10 compilación
    1. Agregar un usuario del sistema o cambiar la contraseña de un usuario del sistema existente y guardar la configuración, y
    2. Rebaja la versión del dispositivo Citrix ADC a cualquier versión anterior.

    Para mostrar la lista de estos usuarios del sistema mediante la CLI:
    En la línea de comandos, escriba:

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solución temporal:

    Para solucionar este problema, utilice una de las siguientes opciones independientes:

    • Si el dispositivo Citrix ADC aún no se ha rebajado (paso 3 de los pasos mencionados anteriormente), revierta la versión del dispositivo Citrix ADC con un archivo de configuración del que se ha creado previamente una copia de seguridad (ns.conf) de la misma compilación de la versión.
    • Cualquier administrador del sistema cuya contraseña no se haya cambiado en la compilación actualizada puede iniciar sesión en la compilación degradada y actualizar las contraseñas de otros usuarios del sistema.
    • Si ninguna de las opciones anteriores funciona, el administrador del sistema puede restablecer las contraseñas de usuario del sistema.

    Para obtener más información, consulte https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [ NSCONFIG-3188 ]

Notas de lanzamiento para la versión 13.0-67.43 de Citrix ADC