Citrix ADC

Notes de publication pour la version 13.0-64.35 de Citrix ADC

December 28, 2022

Contributeur:

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-64.35 de Citrix ADC.

Remarques

Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
Les versions 13.0-64.35 et ultérieures corrigent les vulnérabilités de sécurité décrites dans CTX281474.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-64.35.

Authentification, autorisation et audit

Augmentation de la valeur de longueur maximale pour les attributs

La valeur de longueur maximale pour les attributs suivants a été modifiée comme suit.
- set samlaction <saml-action-name> -samlissuerName - 511 (new max length)
- set samlidPProfile <saml-idp-profile-name> -samlissuerName - 511 (new max length)
- set samlidPProfile <saml-idp-profile-name> -serviceProviderID - 511 (new max length)
- set tm samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
- set vpn samlSSOProfile <saml-sso-profile-name> -samlissuerName - 511 (new max length)
- set oauthaction <oauth-action-name> -clientSecret - 239 (new max length)
- set oauthaction <oauthidp_profile-name> -clientSecret - 239 (new max length)
[NSAUTH-8180]
Prise en charge de la désactivation des faibles authentifications Basic, Digest et NTLM à l’échelle mondiale

La configuration SSO est désormais plus sécurisée en désactivant globalement les méthodes d’authentification faibles suivantes.
- Authentification basique
- Authentification de l’accès au
- NTLM sans définir la clé Negotiate NTLM2 ou le signe Negotiate
Pour plus d’informations, consultezhttps://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/enable-sso-for-auth-pol.html.

[ NSAUTH-7747 ]
Possibilité de démarrer un flux nFactor avec un bloc de décision dans le visualiseur nFactor

À l’aide du visualiseur nFactor, vous pouvez désormais démarrer le flux nFactor avec un bloc de décision. Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/multi-factor-nfactor-authentication/nfactor-authentication-simplification.html.

[NSAUTH-7665]
Support pour client_assertion_type et client_assertion dans l’API de jetons OAuth

La fonctionnalité OAuth prend désormais en charge les fonctionnalités suivantes dans l’API de jeton du côté de la partie de confiance (RP) et du côté IdP de Citrix Gateway et Citrix ADC.
- Prise en charge de PKCE (Proof Key for Code Exchange)
- Prise en charge de client_assertion
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/aaa-tm/oauth-authentication/citrix-adc-oauth-sp.html.

[NSAUTH-6243]

Appliance Citrix ADC SDX

Fonctionnalité de connexion au service Citrix ADM pour permettre l’intégration automatique au service Citrix ADM

La fonctionnalité de connexion au service Citrix Application Delivery Management (ADM) permet une intégration fluide des appliances Citrix ADC SDX au service Citrix ADM. Cette fonctionnalité permet à l’appliance ADC SDX de se connecter automatiquement au service ADM et d’envoyer des données système, d’utilisation et de télémétrie au service ADM. À l’aide de ces données, vous pouvez obtenir des informations et des recommandations pour votre infrastructure Citrix ADC, sur le service Citrix ADM.

Par défaut, la fonctionnalité de connexion au service Citrix ADM est activée lorsque vous installez ou mettez à niveau l’appliance Citrix ADC SDX.

Pour plus d’informations, consultez les rubriques suivantes :
- Service Citrix ADM : https://docs.citrix.com/en-us/citrix-application-delivery-management-service/citrix-application-delivery-management-service.html
- Gouvernance des données : https://docs.citrix.com/en-us/sdx/13/data-governance.html
- Connexion au service Citrix ADM : https://docs.citrix.com/en-us/sdx/13/adm-service-connect.html
Remarque : La fonctionnalité de connexion au service ADM est désormais disponible sur les instances Citrix ADC et les appliances Citrix Gateway, mais la fonctionnalité correspondante sur le service Citrix ADM n’est pas encore disponible. Citrix mettra à jour cette note lorsque la fonctionnalité correspondante sera disponible dans le service ADM afin que vous puissiez tirer pleinement parti de cette fonctionnalité.

[NSSVM-3911]

Citrix Web App Firewall

Apprentissage et déploiement de règles de relaxation en cas de violation d’URL XSS

Le Citrix Web App Firewall peut désormais détecter les violations d’URL XSS et déployer des règles de relaxation pour les scénarios de faux positifs.

Remarque : Dans une configuration de cluster, tous les nœuds doivent être de la même version pour déployer des règles d’URL XSS.

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/top-level-protections/html-cross-site-scripting-check.html%23using-the-learn-feature-with-the-html-cross-site-scripting-check.

[NSWAF-5186]
Contrôle de sécurité pour bloquer les violations de la limite de taille du corps des publications HTTP

Le profil Citrix Web App Firewall prend désormais en charge « PostBodyLimitAction » en tant que contrôle de sécurité configurable pour respecter les paramètres d’erreur et bloquer les demandes (à l’exception des URL de redirection) si la taille du corps de la publication HTTP dépasse la limite maximale autorisée. Le contrôle de sécurité s’applique également aux demandes dont l’en-tête de codage de transfert est défini comme étant fragmenté. Auparavant, les violations de la limite de corps des publications entraînaient une réponse de 400 en tant que serveur.

Le format du journal à PostBodyLimitAction définir est désormais le même que celui du journal d’audit.

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/application-firewall/profiles/app-firewall-profile-settings.html.

[NSWAF-5184]

Équilibrage de charge

Longueur de caractères accrue pour le nom du moniteur

Le nombre de caractères dans le nom du moniteur est désormais porté à 255 caractères.

[NSLB-5223]

Mise en réseau

Modification du schéma de numérotation des interfaces dans les appliances Citrix ADC BLX

Le schéma de numérotation des interfaces d’une appliance Citrix ADC BLX est modifié de manière à s’aligner sur les autres plateformes Citrix ADC. Citrix vous recommande de mettre à jour tous les scripts qui dépendent de la numérotation de l’interface.

Auparavant, les deux interfaces internes étaient numérotées en tant que première et dernière interface. Toutes les interfaces dédiées (dans une appliance Citrix ADC en mode non-DPDK ou DPDK) sont numérotées entre la première et la dernière interface interne.

Exemple 1 : une appliance Citrix ADC BLX en mode non-DPDK avec deux interfaces dédiées :
- Les interfaces BLX internes sont numérotées 0/1 et 0/4.
- Les interfaces dédiées sont numérotées 0/2 et 0/3.
Exemple 2 : une appliance Citrix ADC BLX en mode DPDK avec une interface DPDK :
- Les interfaces BLX internes sont numérotées 0/1 et 0/3.
- L’interface DPDK est numérotée 0/2.
À partir de cette version, les interfaces d’une appliance Citrix ADC sont numérotées dans l’ordre séquentiel suivant :
- Les deux interfaces internes sont numérotées en tant que première et seconde interface.
- interfaces dédiées.
- Interfaces DPDK (dans les appliances Citrix ADC en mode DPDK).
Exemple 1 : une appliance Citrix ADC BLX en mode non-DPDK avec deux interfaces dédiées :
- Les interfaces BLX internes sont numérotées 0/1 et 0/2.
- Les interfaces dédiées sont numérotées 0/3 et 0/4.
Exemple 2 : une appliance Citrix ADC BLX en mode DPDK avec une interface DPDK (40G) et une interface dédiée non DPDK :
- Les interfaces BLX internes sont numérotées 0/1 et 0/2.
- L’interface dédiée non-DPDK est numérotée 0/3.
- L’interface DPDK (40G) est numérotée 40/1.
[NSNET-17067]
Prise en charge des mots de passe autres que ceux par défaut pour l’utilisateur root sur Citrix ADC CPX

Citrix ADC CPX prend désormais en charge les mots de passe autres que les mots de passe par défaut pour l’utilisateur root (nsroot). Lorsque vous déployez CPX, un mot de passe aléatoire est généré et attribué à l’utilisateur root. Vous pouvez également le modifier manuellement.

[NSNET-10520]
Support des licences locales par abonnement pour les appliances Citrix ADC BLX

Une licence locale est similaire à une licence perpétuelle, mais elle a une date d’expiration. L’abonnement logiciel qui constitue les licences locales est basé sur la durée et peut être installé sans nécessiter ADM en tant que serveur de licences.

Le type de licences locales d’abonnement suivant est disponible pour les appliances Citrix ADC BLX :

Licence locale d’abonnement basée sur la bande passante. Ce type de licence est appliqué avec un débit maximum autorisé auquel une appliance Citrix ADC BLX particulière a droit. Chaque licence locale est également liée à l’une des éditions du logiciel Citrix ADC (Standard, Enterprise ou Platinum), qui permet de débloquer l’ensemble des fonctionnalités ADC de cette édition dans une appliance Citrix ADC BLX. Le support Embedded Select est inclus avec l’achat de la licence locale par abonnement.

Exemple :

Un abonnement Citrix ADC BLX 10 Gbit/s Premium Edition donne droit à une appliance Citrix ADC BLX avec un débit maximum autorisé de 10 Gbit/s. Cette licence déverrouille également toutes les fonctionnalités ADC, répertoriées dans l’édition Premium, dans l’appliance Citrix ADC BLX.

[NSNET-9189]
Prise en charge des cartes réseau Mellanox pour les appliances Citrix ADC BLX en mode DPDK

Les appliances Citrix ADC BLX prennent désormais en charge les cartes réseau Mellanox dotées du pilote MLX5 pour le déploiement en mode DPDK.

[ NSNET-8946 ]

Stratégies

Vérification du certificat de serveur pour l’importation de la page HTML du répondeur

Vous pouvez désormais utiliser la commande « import responder htmlpage » pour envoyer des réponses d’erreur HTML au client. Auparavant, aucune validation de certification du serveur n’avait lieu lors de l’importation de pages HTML. Ce problème est désormais résolu à l’aide d’un nouveau paramètre, « CAcertFile ». Vous pouvez configurer le paramètre pour vérifier l’authentification du certificat de serveur lors de l’importation d’une page HTML.
Remarque : Si vous ne configurez pas le nom du fichier du certificat de l’autorité de certification, les certificats de l’autorité de certification racine par défaut sont utilisés pour vérifier le certificat du serveur.
import responder htmlpage&%2391;<src>&%2393;<name>&%2391;-comment <string>&%2393;&%2391;-overwrite&%2393;&%2391;-CAcertFile <string>&%2393;

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/appexpert/responder/configuring-responder-action.html%23configure-html-page-import.

[ NSPOLICY-3620 ]

System

Aide à la liaison du profil d’analyse à l’échelle mondiale

Vous pouvez désormais lier le profil d’analyse à l’échelle mondiale.
Auparavant, vous deviez lier le profil d’analyse à chaque serveur virtuel.

[NSBASE-11079]
Données statistiques pour l’inspection du contenu ICAP, IPS et IDS

Les données statistiques sont désormais disponibles pour les fonctionnalités d’inspection du contenu ICAP, IPS et IDS.

Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/content-inspection/content-inspection-statistics-for-icap-ips-ids.html.

[NSBASE-10447]

Interface utilisateur

Fonctionnalité de connexion au service Citrix ADM pour permettre l’intégration automatique au service Citrix ADM

La fonctionnalité de connexion au service Citrix Application Delivery Management (ADM) permet une intégration fluide des instances Citrix ADC MPX, SDX et VPX et des appliances Citrix Gateway au service Citrix ADM. Cette fonctionnalité permet à l’instance ADC ou à l’appliance Gateway de se connecter automatiquement au service ADM et d’envoyer des données système, d’utilisation et de télémétrie au service ADM. À l’aide de ces données, vous obtenez des informations et des recommandations pour votre infrastructure Citrix ADC sur le service Citrix ADM.

Par défaut, la fonctionnalité de connexion au service Citrix ADM est activée lorsque vous installez ou mettez à niveau des instances Citrix ADC MPX, SDX et VPX ou l’appliance Citrix Gateway.

Pour plus d’informations, consultez les rubriques suivantes :
- Service Citrix ADM : https://docs.citrix.com/en-us/citrix-application-delivery-management-service/citrix-application-delivery-management-service.html
- Gouvernance des données : https://docs.citrix.com/en-us/citrix-adc/13/data-governance.html
- Connexion au service Citrix ADM : https://docs.citrix.com/en-us/citrix-adc/13/adm-service-connect.html
Remarque : La fonctionnalité de connexion au service ADM est désormais disponible sur les instances Citrix ADC et les appliances Citrix Gateway, mais la fonctionnalité correspondante sur le service Citrix ADM n’est pas encore disponible. Citrix mettra à jour cette note lorsque la fonctionnalité correspondante sera disponible dans le service ADM afin que vous puissiez tirer pleinement parti de cette fonctionnalité.

[NSCONFIG-4150]
Fonctionnalité de connexion au service Citrix ADM pour permettre l’intégration automatique au service Citrix ADM

La fonctionnalité de connexion au service Citrix Application Delivery Management (ADM) permet une intégration fluide des instances Citrix ADC MPX, SDX et VPX et des appliances Citrix Gateway au service Citrix ADM. Cette fonctionnalité permet à l’instance ADC ou à l’appliance Gateway de se connecter automatiquement au service ADM et d’envoyer des données système, d’utilisation et de télémétrie au service ADM. À l’aide de ces données, vous obtenez des informations et des recommandations pour votre infrastructure Citrix ADC sur le service Citrix ADM.

Par défaut, la fonctionnalité de connexion au service Citrix ADM est activée lorsque vous installez ou mettez à niveau des instances Citrix ADC MPX, SDX et VPX ou l’appliance Citrix Gateway.

Pour plus d’informations, consultez les rubriques suivantes :
- Service Citrix ADM : https://docs.citrix.com/en-us/citrix-application-delivery-management-service/citrix-application-delivery-management-service.html
- Gouvernance des données : https://docs.citrix.com/en-us/citrix-adc/12-1/data-governance.html
- Connexion au service Citrix ADM : https://docs.citrix.com/en-us/citrix-adc/12-1/adm-service-connect.html
Remarque : La fonctionnalité de connexion au service ADM est désormais disponible sur les instances Citrix ADC et les appliances Citrix Gateway, mais la fonctionnalité correspondante sur le service Citrix ADM n’est pas encore disponible. Citrix mettra à jour cette note lorsque la fonctionnalité correspondante sera disponible dans le service ADM afin que vous puissiez tirer pleinement parti de cette fonctionnalité.

[NSCONFIG-3793]

Problèmes résolus

Les problèmes résolus dans la version 13.0-64.35.

Authentification, autorisation et audit

Si une appliance Citrix ADC est configurée pour la connexion OTP et que le champ OTP est laissé vide, l’authentification échoue. Dans un tel scénario, l’appliance enregistre le mot de passe utilisateur dans le fichier ns.log, ce qui pose un problème de sécurité.

[NSHELP-24027]
Dans certains cas, l’assertion SAML est interrompue lorsque les valeurs d’attribut comportent des balises XML. Cela entraîne l’échec de l’extraction des attributs.

[NSHELP-23940]
Une appliance Citrix ADC configurée en tant que fournisseur d’identité (IdP) pour Citrix Workspace peut se bloquer lorsque les utilisateurs font partie d’un grand nombre de groupes Active Directory.

[NSHELP-23899]
L’utilisateur ne reçoit pas d’invite d’authentification 401 car l’appliance Citrix ADC demande la configuration d’authentification à partir d’une structure de serveur virtuel incorrecte.

[NSHELP-23892]
La connexion à Citrix Workspace échoue lorsqu’une appliance Citrix ADC est configurée en tant que fournisseur d’identité (IdP) pour Citrix Workspace et qu’une erreur d’extraction d’attributs personnalisés se produit.

[NSHELP-23843]
Dans certains cas, le fichier « ns.log » de l’appliance Citrix ADC est incorrectement inondé avec les messages de journal suivants « réclamations autorisées dans le schéma de connexion actuel ».

[NSHELP-23593]
Les politiques de session VPN liées à un utilisateur ou à un groupe d’authentification, d’autorisation et d’audit ne sont pas appliquées si le client VPN accède à l’appliance Citrix ADC à l’aide de la méthode d’authentification Webview nFactor.

[NSHELP-23526]
L’interface graphique de Citrix ADC située sur la page « System Global Authentication Policy Binding » contient les erreurs suivantes :
- Le champ Goto Expression affiche incorrectement « END » au lieu de « NEXT ».
- La politique liée au prochain facteur n’est pas reflétée dans le champ « Facteur suivant ».
[NSHELP-23474]
Dans de rares cas, le nom d’utilisateur de la session apparaît à tort comme « anonyme » au lieu du nom commun du certificat de l’appareil si les deux conditions suivantes sont remplies.
- Une appliance Citrix ADC est configurée pour l’authentification nFactor.
- Le certificat de périphérique est configuré comme le seul facteur d’une configuration nFactor.
[NSHELP-23243]
L’authentification SAML pour le dernier facteur échoue lorsque les deux conditions suivantes sont remplies :
- L’appliance Citrix ADC est configurée en tant que SP SAML.
- L’EPA est activé sur le serveur virtuel VPN en tant que politique de pré-authentification et le thème RFWebUI est lié au serveur.
[NSHELP-22932]
L’établissement de la session échoue lors de l’accès à partir de l’application Citrix Workspace à l’aide de Webview si l’EPA de préauthentification est configurée en même temps que l’authentification nFactor.

[NSHELP-22845]
La page de connexion d’une appliance Citrix ADC ne s’affiche pas correctement lorsque LDAP et SAML sont configurés comme mécanisme d’authentification principal.

[NSHELP-22713]
Lorsque vous ouvrez une session sur l’appliance Citrix Gateway, une page blanche s’affiche si les conditions suivantes sont remplies :
- L’appliance Citrix Gateway est configurée pour l’authentification nFactor avec saml comme prochain facteur EULA.
- Vous cliquez sur la flèche de retour pour revenir à la page précédente pendant le processus d’ouverture de session.
[NSHELP-22604]
Dans certains cas, une appliance Citrix ADC se bloque en raison de la corruption de la mémoire provoquée par le remplacement de la mémoire tampon pour la liste des périphériques OTP.

[NSHELP-22478]
Parfois, l’authentification SSO basée sur un formulaire échoue pour la première fois si un Set-Cookie est contenu dans l’en-tête de réponse HTTP du formulaire HTML.

[NSHELP-21740]

Appliance Citrix ADC SDX

Une chaîne de modèle de plate-forme incorrecte s’affiche lorsque vous configurez des licences groupées sur les appliances Citrix ADC SDX 8400, 8600 ou 8015.

[NSHELP-24234]
Si vous effectuez une sauvegarde d’une appliance SDX, la restauration des instances sur une autre appliance SDX échoue.

[NSHELP-23947]
Sur une appliance Citrix ADC SDX 8900, le nombre d’instances disponibles pour le provisionnement est réduit après la mise à niveau de l’appliance.

[NSHELP-23808]
La mise à niveau d’une appliance Citrix ADC SDX vers la version 12.1 build 57.x peut échouer car un processus du service de gestion ne répond pas.

[NSHELP-23612]
Sur l’appliance Citrix ADC SDX, un utilisateur disposant d’autorisations en lecture seule peut transférer des fichiers vers le service de gestion à l’aide d’un utilitaire de transfert de fichiers, tel que SCP ou SFTP.

[NSHELP-22638]

Citrix Gateway

L’appliance Citrix Gateway peut se bloquer lors de l’ajout d’un code JavaScript cookie_watch alors qu’il gère du trafic VPN sans client.

[NSHELP-24096]
Vous ne pouvez pas désactiver le plug-in Citrix Gateway EPA depuis l’interface graphique après la mise à niveau vers la version 13.0 build 58.30.

[NSHELP-24016]
Le plug-in VPN ne peut pas charger la page de connexion Citrix Gateway si un numéro de port est spécifié lors de la connexion. Ce problème se produit uniquement si l’authentification nFactor est configurée pour le serveur virtuel de l’appliance.

[NSHELP-23925]
Lorsque le tunnel VPN est actif, les utilisateurs ne peuvent pas accéder à un portail si les conditions suivantes sont remplies :
- Les applications intranet basées sur le nom d’hôte sont configurées avec un tunnel partagé inversé.
- Le nom d’hôte du portail correspond au nom d’une application intranet.
[NSHELP-23912]
Sur la page du serveur virtuel VPN, le résumé des thèmes, des politiques et des profils du portail configurés n’apparaît pas sur le côté gauche de la page.

[NSHELP-23903]
Dans de rares cas, une appliance Citrix Gateway peut se bloquer lors du traitement des demandes de transfert, d’ouverture de session ou de déconnexion.

[NSHELP-23863]
Le plug-in Windows ne peut pas effectuer une connexion de transfert fluide en mode de service Always On si le thème du portail RFWebUI est lié au serveur virtuel Citrix ADC.

[NSHELP-23837]
Lorsque vous mettez à niveau votre plug-in VPN vers la version 13.0, des requêtes DNS sont envoyées aux serveurs DNS locaux et distants si le tunnel partagé est défini sur OFF.

[NSHELP-23826]
Les requêtes DNS locales via le plug-in VPN si elles sont spécifiées pour un serveur DNS particulier ne sont pas prises en compte car les requêtes sont envoyées à des serveurs DNS sélectionnés de manière aléatoire sur le client.

[NSHELP-23743]
L’écran d’identification Windows ne s’actualise pas après le redémarrage du réseau.

[NSHELP-23594]
Les dossiers SAP ne fonctionnent pas comme prévu lorsqu’ils sont accessibles via un VPN sans client avancé.

[NSHELP-23561]
En mode de service Citrix Gateway Always On, lorsque la machine est redémarrée, le tunnel n’est pas établi si une adresse IP intranet est configurée.

[NSHELP-23304]
L’appliance Citrix ADC se bloque si la commande « show vpn storeinfo » est exécutée à plusieurs reprises.

[NSHELP-23144]
Le lancement de l’application ICA Proxy via le canal SOCKS échoue.

[NSHELP-23111]
Les utilisateurs ne peuvent pas accéder aux ressources via le VPN lorsque les machines sortent de l’état de veille ou d’hibernation.

[NSHELP-23024]
Le plug-in VPN ne peut pas établir de session fluide après le redémarrage de l’appliance Citrix Gateway, car la configuration est remplacée lorsque Always On est activé.

[NSHELP-22674]
Dans de rares cas, l’appliance Citrix ADC peut ne plus répondre si l’appliance est configurée pour l’EDT et que HDX Insight est activé pour les sessions EDT.

[NSHELP-22640]
L’appliance Citrix Gateway se bloque lors de l’accès à la configuration du serveur DNS si le proxy RDP est configuré et que la résolution DNS est tentée après la résolution WINS.

[NSHELP-22577]
Dans une configuration haute disponibilité à double saut de Citrix Gateway, la connexion ICA peut être perdue après un basculement HA.

[NSHELP-22444]
Dans une configuration haute disponibilité de Citrix Gateway, le nœud secondaire peut se bloquer lors d’un basculement si Syslog est configuré.

[NSHELP-22438]
Citrix Gateway
L’appliance Citrix Gateway peut se bloquer car certaines commandes ne sont pas exécutées.

[NSHELP-22371]
L’appliance Citrix Gateway peut se bloquer par intermittence si une politique Syslog est configurée.

[NSHELP-22304]

Citrix Web App Firewall

Une appliance Citrix ADC peut se bloquer si le côté réponse ou les contrôles de sécurité XML sont activés et que les expressions de journal sont configurées dans un profil de Web App Firewall.

[NSWAF-6466]
Dans une configuration de cluster, la commande unbind permettant de configurer une règle de relaxation de vérification par script HTML intersite avec l’emplacement comme URL échoue.

[NSWAF-6463]
Dans une configuration de cluster, l’agrégation de données aslearn du Citrix Web App Firewall sur le nœud coordinateur du cluster (CCO) échoue lorsque les nœuds RPC sont sécurisés.

[NSWAF-6460]
Après une mise à niveau, les valeurs « BufferOverflowMaxQueryLength » et « BufferOverflowMaxHeaderLength » d’un profil Citrix Web App Firewall existant peuvent ne pas être adaptées au déploiement. Par conséquent, il se peut que vous deviez modifier les valeurs si elles sont incorrectes.

[NSWAF-6346]
Une appliance Citrix ADC peut se bloquer si la signature du bot est activée avec la configuration d’un serveur DNS externe.

[NSHELP-24190]
Les requêtes POST dont le type de contenu est « application/octet-stream » ne sont pas traitées si le streaming est activé sans signature définie.

[NSHELP-22668]
Dans une configuration à haute disponibilité, la session Web App Firewall sur le nœud secondaire est une session obsolète.

[NSHELP-20288]

Équilibrage de charge

La synchronisation en temps réel de la configuration GSLB du site principal vers les sites subordonnés peut échouer si l’option sécurisée est activée pour le nœud RPC du site distant.

[NSHELP-24178]
Une appliance Citrix ADC peut se bloquer lorsque vous essayez d’évaluer les politiques relatives aux abonnés et que GX Session Reporting est activé.

[NSHELP-24159]
Si la mise en miroir des connexions ne synchronise pas les paramètres du circuit imprimé, cela peut entraîner la perte d’options TCP telles que la taille maximale des segments (MSS) et la mise à l’échelle de la fenêtre.

[NSHELP-23990]
L’appliance Citrix ADC se bloque si le paramètre StoreDB est activé dans le moniteur MYSQL-ECV.

[NSHELP-23983]
Lorsque vous ajoutez deux groupes de services avec la même valeur pour le paramètre « devno » de manière explicite à l’aide de la CLI, l’ajout du second groupe de services échoue. Cela est dû au fait que le même devno est déjà attribué au premier groupe de services. Il est recommandé de ne pas fournir le devno explicitement à partir de la CLI car il est automatiquement renseigné.

[NSHELP-23817]
Si l’option de vérification de l’état est activée pour l’interface Gx et que le serveur Gx ne répond pas, aucune session TTL négative n’est créée.

[NSHELP-23355]
Les statistiques relatives à un identifiant de flux ne présentent aucun graphique.

[NSHELP-22753]
Pour les demandes DNS UDP, la session d’abonné est créée en fonction de l’adresse IP de destination et non de l’adresse IP source, si une expression d’abonné et une expression DNS sont utilisées dans la même politique.

[NSHELP-22521]
Mise en cluster

Dans une configuration de cluster, les règles ACL avec les paramètres VLAN ne prennent pas effet, ce qui fait que les paquets entrent en contact avec d’autres règles ACL.

Ce problème se produit lorsque vous supprimez un serveur virtuel dans la configuration du cluster, ce qui empêche les nœuds du cluster d’ajouter des informations VLAN sur les paquets dirigés.

[NSHELP-22103]
Haute disponibilité

Dans une configuration haute disponibilité (HA), lorsque le nœud secondaire redémarre, le nœud principal peut se bloquer lors de la mise en miroir des sessions vers le nœud secondaire.

[NSHELP-21715]

Divers

Certaines commandes présentes dans le fichier rc.netscaler ne sont pas appliquées correctement après le redémarrage d’une appliance Citrix ADC, ce qui peut empêcher l’appliance de fonctionner comme prévu.

[NSHELP-22507]

Mise en réseau

Le script nstcpdump.sh ne s’exécute pas sur l’interface de ligne de commande Citrix ADC BLX connectée via SSH et connectée à l’aide des informations d’identification d’administrateur par défaut (nsroot). Le script échoue car l’administrateur par défaut (nsroot) n’est pas autorisé à accéder à certains fichiers et ressources réseau.

[ NSNET-16816 ]
Dans une configuration de haute disponibilité avec la mise en miroir des connexions activée pour le trafic FTP, le nœud secondaire peut se bloquer si la condition suivante est vraie.
- la connexion de données se propage au nœud secondaire avant la connexion de contrôle
[NSHELP-24088]
Lorsque le mode L2 est activé, l’appliance Citrix ADC transmet les paquets de diffusion DHCP reçus dans la partition par défaut.

[NSHELP-23957]
L’appliance Citrix ADC peut échouer lors d’une traduction NAT64 d’un paquet de demande IPv6 reçu si la condition suivante est vraie :

Les 32 derniers bits de l’adresse IPv6 de destination, qui est l’adresse IPv4 de destination traduite, sont supérieurs à 240.0.0.0 (appartient à la plage IP réservée).

Ajoutez une ACL pour refuser de tels paquets.

[NSHELP-22742]
Vous pouvez observer une utilisation élevée du processeur sur une appliance Citrix ADC lorsqu’elle envoie des paquets IPv6 fragmentés.

[NSHELP-22699]
Un paquet dont l’adresse MAC virtuelle n’est pas valide comme adresse de destination est classé à tort comme un paquet possédant l’adresse MAC appartenant à Citrix ADC.

[NSHELP-22697]

Plateforme

Sur la plate-forme Citrix ADC SDX 24000, une alerte critique sur les lecteurs logiques est générée après la mise à niveau de l’appliance vers la version logicielle 13.0. Il s’agit d’un faux positif.
cp /opt/Citrix/System_Config/NSSDX-22000 /opt/Citrix/System_Config/NSSDX-22000T

[NSHELP-23505]
Dans certains cas, sur une appliance Citrix ADC SDX, la configuration de certaines instances virtuelles avec des interfaces Mellanox 50G et 100G épuise la mémoire.

[NSHELP-23394]
Vous devez redémarrer une appliance Citrix ADC SDX pour réinitialiser et initialiser une carte SSL lorsque celle-ci renvoie une erreur. Avec ce correctif, le redémarrage n’est pas nécessaire.

[NSHELP-22725]

Stratégies

Un Citrix ADC peut se bloquer lors de l’évaluation d’un grand nombre d’expressions incorporées dans une page HTML.

[ NSPOLICY-1462 ]

SSL

L’appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :
- Le traitement précoce des données TLS 1.3 est activé dans le profil SSL d’une partition d’administration autre que la partition par défaut.
- Le traitement anticipé des données TLS 1.3 est désactivé dans tous les profils SSL de la partition d’administration par défaut.
[NSHELP-23607]
Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont remplies :
- Une paire de clés de certificat est ajoutée avec l’option de surveillance d’expiration activée.
- La date du certificat est antérieure au 01/01/1970.
[NSHELP-22934]
Dans une configuration de cluster, une requête d’API NITRO visant à récupérer des liaisons de politique SSL est un succès à partir de l’adresse CLIP, mais la requête échoue si elle est exécutée à partir d’un nœud de cluster.

[NSHELP-22853]
Une appliance Citrix ADC peut se bloquer s’il existe un grand nombre d’entrées OCSP mises en cache et si vous exécutez la commande clear config.

[NSHELP-22695]
La configuration de CRL vides pour des mises à jour fréquentes épuise la mémoire partagée allouée sur l’appliance Citrix ADC.

[NSHELP-22166]
SSL
Une appliance Citrix ADC partitionnée risque de ne pas répondre comme prévu si vous effectuez les actions suivantes :
1) Créez deux répondeurs OCSP dans des partitions différentes.
1) Effacez la configuration dans une partition.
1) Supprimez le répondeur OCSP dans l’autre partition.

[NSHELP-20861]

System

Une appliance Citrix ADC risque de ne pas optimiser et de compresser des objets volumineux tels que Javascript ou CSS si l’optimisation frontale est activée.

[NSHELP-24041]
Dans le cas du protocole de réutilisation de sessions TLS v1.2, le comportement suivant est observé dans l’appliance Citrix ADC :
- Les informations de catégorisation sont enregistrées sur le PCB du serveur et les informations de domaine sont enregistrées sur le PCB client.
- Les données sont envoyées à AppFlow uniquement à partir du PCB client. Par conséquent, dans les cas de réutilisation de sessions, les informations de catégorisation sont envoyées sous la forme de valeurs nulles.
[NSHELP-23542]
Si un service, représentant un appareil en ligne, est en panne lorsque le trafic est inspecté, une ressource n’est pas libérée correctement. L’appliance Citrix ADC se bloque lorsque vous accédez à nouveau à cette ressource libérée.

[NSHELP-23145]
Système
Pour la génération de pièges synflood, si vous ne réinitialisez pas les valeurs de liaison aux varbinding, l’appliance utilise les anciennes valeurs de liaison aux varbinding au lieu des valeurs actuelles et des valeurs seuils.

[NSHELP-20653]
Système
Dans le protocole TCP à chemins multiples (MPTCP), les compteurs SI_CUR_Clients et SI_CUR_CLNT_ConnOpenest sont incrémentés deux fois.

[NSHELP-19896]
Analyse

Parfois, les données d’analyse ne sont pas renseignées dans le service ADM.

[NSBASE-11508]

Interface utilisateur

La connexion multifactorielle (nFactor) ne fonctionne pas à l’aide de l’interface graphique Citrix ADC. Après la connexion au premier facteur, la saisie de connexion au facteur suivant ne fonctionne pas.

[NSHELP-24078]
Une appliance Citrix ADC peut se bloquer lorsqu’un processus interne redémarre un nombre maximal de fois.

[NSHELP-23378]
Seuls les trois derniers chiffres de l’année sont affichés dans la ligne « Up since (Local) » de la commande « stat system ».

[NSHELP-22960]
L’ajout direct d’un membre du groupe de services est réussi. Toutefois, l’opération échoue si vous effectuez les opérations suivantes :
1. Accédez à Gestion du trafic > Équilibrage de charge > Groupes de services.
2. Sélectionnez un groupe de services et cliquez sur Membres du groupe de services.
3. Cliquez avec le bouton droit sur l’une des entrées et sélectionnez Ajouter.
4. Dans le champ Créer un membre du groupe de services, modifiez l’adresse IP et cliquez sur Créer.
[NSHELP-21925]
L’API NITRO (routerdynamicrouting) permettant de récupérer la configuration ZEBOS en cours d’exécution ne récupère pas la sortie complète pour les configurations volumineuses (plus de 25 lignes).

[NSCONFIG-3535]
Après la mise à niveau de l’appliance Citrix ADC vers la version 13.0 build 64.x, l’option Secure pour tous les nœuds RPC est activée par défaut. Cette option sécurise la communication entre les nœuds ADC dans les déploiements à haute disponibilité, en cluster et GSLB, qui utilisent le numéro de port 3008. Si le pare-feu entre les nœuds ADC bloque le port numéro 3008, débloquez-le et continuez. Sinon, la synchronisation et la propagation de la configuration risquent d’échouer. Vous pouvez modifier cette option à tout moment à l’aide de l’interface de ligne de commande ou de l’interface graphique.

[NSCONFIG-2702]

Problèmes connus

Les problèmes qui existent dans la version 13.0-64.35.

Authentification, autorisation et audit

Authentification, autorisation et auditing-TM
Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe dupliqué et empêche le verrouillage des comptes.

[NSHELP-563]
Authentification, autorisation et audit

Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

[ NSAUTH-6106 ]
Authentification, autorisation et audit

Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
show adfsproxyprofile <profile name>

Connectez-vous au Citrix ADC actif principal dans le cluster et exécutez la commande show adfsproxyprofile <profile name>. Il afficherait l’état du profil proxy.

[ NSAUTH-5916 ]
Authentification, autorisation et audit
Vous pouvez voir un message Aucune politique de ce type n’existe sur la page nFactor Flow de nFactor Visualizer lorsque vous essayez de dissocier une politique d’un facteur. L’option de dissociation fonctionne comme prévu.

[NSAUTH-5821]

Mise en cache

Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

[ NSHELP-22942 ]

Citrix Gateway

Le plug-in EPA pour Windows n’utilise pas le proxy configuré de la machine locale et se connecte directement au serveur de passerelle.

[ NSHELP-24848 ]
Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

[ NSHELP-23937 ]
Vous pouvez rencontrer des problèmes lors de la modification de documents à l’aide des applications bureautiques Web liées à SharePoint lorsque ces applications sont accessibles via le VPN sans client avancé.

[NSHELP-23364]
Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

[ NSHELP-21897 ]
L’ouverture de session de transfert ne fonctionne pas si les deux conditions suivantes sont remplies :
- L’authentification NFactor est configurée.
- Le thème Citrix ADC est défini sur Par défaut.
[CGOP-14092]
Citrix Gateway
Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification pour les échecs d’erreur SAML.

[ CGOP-13584 ]
Citrix Gateway
Dans une configuration à haute disponibilité, lors du basculement de Citrix ADC, le nombre de SR augmente au lieu du nombre de basculements dans Citrix ADM.

[ CGOP-13511 ]
Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

[ CGOP-13050 ]
Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué dans certaines langues.

[ CGOP-13049 ]
Citrix Gateway
Un message d’erreur s’affiche lorsque vous ajoutez ou modifiez une politique de session à partir de l’interface graphique de Citrix ADC.

[ CGOP-11830 ]
Dans Outlook Web App (OWA) 2013, cliquez sur « Options » dans le menu Paramètres pour afficher une boîte de dialogue « Erreur critique ». De plus, la page ne répond plus.

[ CGOP-7269 ]

Équilibrage de charge

Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

[ NSLB-7679 ]
La génération d’alarmes SNMP peut être retardée si la synchronisation de la configuration entre le site principal et les sites subordonnés échoue.

[NSHELP-23391]

Mise en réseau

Lorsque vous envoyez des configurations aux instances de cluster à l’aide d’un Stylebook, les commandes échouent et le message d’erreur « La propagation de la commande a échoué ».
En cas de défaillance successive, le cluster conserve la configuration partielle.
1. Identifiez les commandes qui ont échoué dans le journal.
2. Appliquez manuellement les commandes de récupération aux commandes qui ont échoué.
[NSHELP-24910]

Stratégies

- Les connexions système peuvent se bloquer si la taille des données de traitement est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

Définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

[ NSPOLICY-1267 ]

SSL

La commande SSL
Update n’est pas disponible pour les commandes d’ajout suivantes :
- add azure application
- add azure keyvault
- add ssl certkey with hsmkey option
[NSSSL-6484]
SSL
Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet d’authentification Azure Key Vault est déjà ajouté.

[NSSSL-6478]
SSL
Vous pouvez créer plusieurs entités d’application Azure avec le même identifiant client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

[NSSSL-6213]
SSL
Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type de HSM.
ERREUR : actualisation de la CRL désactivée

[NSSSL-6106]
L’actualisation automatique de la clé de
session SSL apparaît incorrectement comme désactivée sur l’adresse IP d’un cluster. (Cette option ne peut pas être désactivée.)

[NSSSL-4427]
SSL
Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

[NSSSL-4001]
Si l’option de mot de passe fort est activée sur une appliance Citrix ADC, les paires de clés de certificat protégées par mot de passe risquent de ne pas être ajoutées. Grâce à ce correctif, les paires de clés de certificat protégées par mot de passe sont toujours ajoutées avec succès. Toutefois, la rétrogradation vers une version antérieure entraîne la perte de la configuration de la clé de certificat.
De plus, dans la réponse de l’API NITRO pour les paires de clés de certificat, la variable passplain est envoyée au lieu de la variable passcrypt.

[NSHELP-25675]
Dans une configuration de cluster, les modifications de configuration des certificats ne sont pas autorisées si des fichiers de certificat ou de clé sont supprimés.

[NSHELP-24913]

Interface utilisateur

Connecteur Cloudbridge

L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

Configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

[NSUI-13024]
Le bouton Actualiser ne fonctionne pas lorsque vous vérifiez les sessions de streaming (AppExpert > Action Analytics > Stream Identifier) dans l’interface graphique.

[NSHELP-24195]
Le chargement et l’ajout d’un fichier de liste de révocation de certificats (CRL) échouent dans la configuration d’une partition d’administration.

[ NSHELP-20988 ]
La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

[NSCONFIG-4330]
Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.
1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :
  - 13.0 52.24 build
  - 12.1 57.18 build
  - 11.1 65.10 build
2. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
3. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.
Pour afficher la liste de ces utilisateurs du système
à l’aide de l’interface de ligne de commande, tapez :

query ns config -changedpassword &%2391;-config <full path of the configuration file (ns.conf)>&%2393;

Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :
- Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
- Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
- Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.
Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

[NSCONFIG-3188]

La version officielle de ce document est en anglais. Certains contenus de la documentation Citrix ont été traduits de façon automatique à des fins pratiques uniquement. Citrix n'exerce aucun contrôle sur le contenu traduit de façon automatique, qui peut contenir des erreurs, des imprécisions ou un langage inapproprié. Aucune garantie, explicite ou implicite, n'est fournie quant à l'exactitude, la fiabilité, la pertinence ou la justesse de toute traduction effectuée depuis l'anglais d'origine vers une autre langue, ou quant à la conformité de votre produit ou service Citrix à tout contenu traduit de façon automatique, et toute garantie fournie en vertu du contrat de licence de l'utilisateur final ou des conditions d'utilisation des services applicables, ou de tout autre accord avec Citrix, quant à la conformité du produit ou service à toute documentation ne s'applique pas dans la mesure où cette documentation a été traduite de façon automatique. Citrix ne pourra être tenu responsable de tout dommage ou problème dû à l'utilisation de contenu traduit de façon automatique.

Notes de publication pour la version 13.0-64.35 de Citrix ADC

December 28, 2022

Contributeur:

December 28, 2022

Contributeur: