ADC

Notes de publication pour la version 13.0-67.43 de Citrix ADC

Ce document de notes de version décrit les améliorations et modifications, les problèmes résolus et connus qui existent pour la version 13.0-67.43 de Citrix ADC.

Remarques

  • Ce document de notes de publication n’inclut pas les correctifs liés à la sécurité. Pour obtenir la liste des correctifs et des conseils liés à la sécurité, consultez le bulletin de sécurité Citrix.
  • 13.0-67.43 est une version de remplacement pour 13.0-67.39. NSHELP-25322 et NSHELP-25443 sont les correctifs supplémentaires de la version de remplacement.

Nouveautés

Les améliorations et modifications disponibles dans la version 13.0-67.43.

Authentification, autorisation et audit

Citrix Gateway

  • Le nouveau logo Citrix est introduit.

    [CGOP-14440]

Citrix Web App Firewall

  • La longueur du nom de tous les objets d’importation et la longueur du nom du profil ont été augmentées à 127 caractères

    La longueur du nom des objets d’importation du Citrix Web App Firewall et la longueur du nom de profil sont désormais augmentées jusqu’à une limite maximale de 127 caractères. Auparavant, la longueur du nom était limitée à 32 caractères.

    [NSWAF-5992]

  • Compteur de règles de relaxation du profilage dynamique

    Lorsque le Citrix Web App Firewall détecte une violation, l’utilisateur peut contourner l’action à l’aide de règles de relaxation. Pour surveiller ces relaxations, vous disposez désormais d’un compteur de résultats de relaxation. Le compteur enregistre les détails statistiques, tels que le nombre de fois qu’une violation se produit sur l’appliance, le nombre de règles de relaxation appliquées au moment de la violation et l’horodatage appliqué pour la dernière fois.

    Toutefois, le nouveau compteur de visites liées à la relaxation n’est disponible que pour les contrôles de sécurité suivants :

    • URL de démarrage
    • Denyurl
    • Scripts intersites
    • Injection SQL

    [NSWAF-5842]

  • Contrôle de protection contre l’injection de commande JSON

    Le profil Citrix Web App Firewall est désormais amélioré avec un nouveau contrôle de protection contre les attaques par injection de commandes dans la charge utile JSON. Lorsque le contrôle de sécurité par injection de commandes examine le trafic JSON et détecte des commandes malveillantes, l’appliance bloque la demande ou exécute l’action configurée.

    [NSWAF-5837]

  • Randomisation des URL du piège à robots

    La technique d’interception de Citrix Bot peut désormais insérer de manière aléatoire ou périodique une URL d’interruption dans la réponse du client. L’URL apparaît invisible et n’est pas accessible si le client est un utilisateur humain. Toutefois, si le client est un robot automatisé, l’URL est accessible et, lorsqu’on y accède, l’attaquant est classé dans la catégorie des robots et toute demande ultérieure émanant du bot est bloquée. La technique du piège est efficace pour bloquer les attaques des robots.

    L’URL du bot trap est générée automatiquement et vous pouvez configurer la longueur et l’intervalle auxquels l’URL doit être mise à jour. Si l’URL piège est configurée dans un profil, vous devez insérer uniquement cette URL. Cette technique vous permet également d’insérer l’URL piège pour chaque réponse des sites Web les plus visités ou des sites Web fréquemment visités en liant les URL des sites Web au profil. «

    [NSWAF-5774]

  • Attribut de cookie SameSite pour une communication Web sécurisée

    La récente mise à niveau du navigateur, telle que Google Chrome 80, a modifié le comportement interdomaine par défaut des cookies. Par conséquent, l’attribut SameSite est défini sur « None », « Lax » ou « Strict » et pour le navigateur Google Chrome, la valeur d’attribut par défaut est définie sur Lax.

    Conformément à la nouvelle politique de cookies SameSite du navigateur, le profil Citrix Web App Firewall est amélioré pour prendre en charge la configuration de l’attribut de cookie SameSite. Vous pouvez désormais activer l’attribut de cookie SameSite et également le définir selon l’une des options suivantes.

    • SameSite=Aucun. Indique que le navigateur doit utiliser un cookie dans un contexte intersite uniquement lors de connexions sécurisées.
    • SameSite=LAX. Indique que le navigateur doit utiliser un cookie pour les requêtes sur le même domaine et pour les requêtes intersites, seules les méthodes HTTP sécurisées telles que la requête « GET » peuvent utiliser le cookie.
    • SameSite=Strict. Indique que le cookie ne peut être utilisé que lorsque l’utilisateur demande explicitement le domaine.

    [NSWAF-5468]

Réseau

  • Ajout du support pour NET_ADMIN pour exécuter Citrix ADC CPX multicœur

    Vous pouvez désormais utiliser l’option –cap-add=net_admin pour exécuter Citrix ADC CPX à la fois avec un cœur et plusieurs cœurs dans les déploiements en mode pont.

    [ NSNET-16016 ]

Plateforme

  • Configuration d’une paire VPX à haute disponibilité avec des adresses IP privées dans différentes zones AWS

    Vous pouvez désormais déployer une paire VPX à haute disponibilité sur AWS à l’aide d’adresses IP privées dans différentes zones AWS.

    [ NSPLAT-14757 ]

  • Prise en charge de la mise à l’échelle VIP pour l’instance Citrix ADC VPX sur GCP

    En fonction de vos besoins, vous pouvez désormais ajouter plusieurs adresses VIP (IP publiques) sur une instance Citrix ADC VPX déployée sur GCP. Cela est pris en charge à la fois sur les déploiements autonomes et à haute disponibilité. Auparavant, le nombre maximum de VIP que vous pouviez ajouter dépendait de la limite réseau GCP.

    [NSPLAT-14738]

  • Modification du mot de passe administrateur par défaut
    Si le mot de passe est défini sur le mot de passe administrateur par défaut (nsroot), les utilisateurs doivent modifier le mot de passe lors de la première connexion ou lors de la création d’une instance, puis enregistrer la configuration. Le mot de passe ne peut pas être réinitialisé au mot de passe administrateur par défaut.
    Cette modification s’applique aux appliances Citrix suivantes :

    • Instances VPX hébergées sur l’appliance Citrix ADC SDX
    • Appliance Citrix ADC BLX
    • Appliances virtuelles Citrix VPX hébergées sur les plateformes de virtualisation et de cloud suivantes :
    • Citrix Hypervisor
    • VMware ESX
    • Microsoft Hyper-V
    • Linux KVM
    • Amazon Web Services
    • Google Cloud Platform

    [NSPLAT-14480]

  • Configuration d’une paire haute disponibilité Citrix ADC VPX sur GCP à l’aide de règles de transfert

    Vous pouvez désormais déployer une paire VPX à haute disponibilité sur Google Cloud Platform (GCP) à l’aide de règles de transfert avec des instances cibles en arrière-plan. Les règles de transfert doivent se trouver dans la même région que l’instance VPX et les instances cibles doivent se trouver dans la même zone que l’instance VPX. Lors du basculement, la cible de la règle de transfert est mise à jour vers l’instance cible secondaire pour que le trafic reprenne.

    [NSPLAT-14378]

Système

  • Profil HTTP intégré pour l’accès à la gestion

    L’appliance Citrix ADC dispose désormais d’un profil HTTP intégré, « nshttp_default_internal_apps » pour l’accès de gestion. Le profil est configuré pour bloquer les demandes HTTP/0.9 et pour supprimer les demandes d’accès à la gestion non valides. Les paramètres du profil sont les mêmes que ceux du profil « nshttp_default_strict_validation » existant. Toutefois, il est conseillé de ne pas modifier les paramètres du profil comme dans le profil « nshttp_default_strict_validation ».

    [NSBASE-10118]

  • Requête et nouvelle tentative d’établissement d’une connexion TCP SYN

    La nouvelle tentative de demande s’applique à un autre scénario d’erreur. Si une réinitialisation est reçue du serveur principal lors de l’établissement du protocole TCP SYN, l’appliance ne réessaie pas d’utiliser le même serveur tant que la connexion du client n’a pas expiré. Au lieu de cela, sur la base de l’équilibrage des recharges, l’appliance transmet la demande au prochain serveur principal disponible.

    [NSBASE-9610]

  • Prise en charge de la limitation du temps et de la taille de la mémoire tampon de réponse gRPC

    Dans le scénario de pontage gRPC, l’appliance Citrix ADC met en mémoire tampon la réponse gRPC du serveur principal jusqu’à ce que la bande-annonce de réponse soit reçue. Cela interrompt les appels gRPC bidirectionnels. De plus, si la réponse gRPC est énorme, elle consomme une quantité importante de mémoire pour la mettre complètement en mémoire tampon. Pour résoudre ces problèmes, vous pouvez configurer deux nouveaux paramètres, grpcholdlimit et/ou grpcholdtimeout dans le profil HTTP. Lors de la configuration des deux paramètres ou de l’un des deux paramètres, l’appliance arrête la mise en mémoire tampon et commence à transférer la réponse même si l’une des limites de mémoire tampon se déclenche (soit la bande-annonce n’est pas reçue dans les limites de la taille de la mémoire tampon configurée, soit si un délai d’attente configuré se produit).

    [NSBASE-9466]

Interface utilisateur

  • Modification du logo Citrix

    Citrix dispose désormais d’un nouveau logo qui reflète la transformation de sa marque. Les interfaces graphiques de Citrix ADC et Citrix Gateway reflètent désormais le nouveau logo Citrix.

    [NSUI-16210]

  • Fonctionnalité de recherche personnalisée pour les signatures de robots

    Une fonctionnalité de recherche personnalisée est désormais disponible sur la page de l’interface graphique de Citrix ADC Bot Signatures. Vous pouvez utiliser l’option de recherche pour localiser le contenu du fichier de signature.

    [NSUI-15992]

  • Les clés DSA sont obsolètes et ne sont plus prises en charge sur une appliance Citrix ADC.

    [NSUI-14778]

Problèmes résolus

Les problèmes résolus dans la version 13.0-67.43.

Authentification, autorisation et audit

  • Dans de rares cas, une appliance Citrix Gateway se bloque si elle est configurée avec la fonctionnalité « URL VPN » avec le type SSO « selfauth ».

    [NSHELP-24667]

  • Dans certains cas, la validation OTP par e-mail échoue lorsque la demande OTP est envoyée par un noyau et que la demande de validation est reçue par un autre cœur.

    [NSHELP-24442]

  • L’appliance Citrix ADC refuse les demandes de connexion des clients mobiles car la validation du schéma de connexion échoue. Vous devez utiliser le schéma OAuthToken_Username_password.xml dans votre configuration.

    [NSHELP-24318]

  • La connexion à une appliance Citrix ADC échoue si les conditions suivantes sont remplies.

    • L’appliance est configurée pour nFactor.
    • La politique du schéma de connexion est liée à un serveur virtuel d’authentification et le schéma d’authentification est défini sur « noschema ».

    [NSHELP-24259]

  • Dans de rares cas, l’appliance Citrix ADC se bloque si elle est configurée pour l’authentification NTLM.

    [NSHELP-24236]

  • Le scan Citrix SSO QR échoue pour le serveur virtuel VPN configuré sur un port autre que le port par défaut (443). Cela se produit en raison d’un problème avec les paramètres OTP natifs.

    [NSHELP-24097]

  • Dans certains cas, une appliance Citrix ADC ne répond plus alors qu’elle effectue certaines tâches d’arrière-plan liées à l’authentification des utilisateurs.

    [NSHELP-23883]

  • Dans certains cas, une appliance Citrix ADC ne répond plus lorsque l’authentification unique est tentée.

    [NSHELP-23632]

  • Dans de rares cas, une appliance Citrix ADC se bloque lors du traitement d’une demande d’authentification si un scénario DUP-FREE (tentative de libération d’une ressource déjà libre) se produit.

    [NSHELP-23565]

  • Une appliance Citrix ADC ne parvient pas à extraire tous les groupes dans un scénario LDAP pour un utilisateur AD lorsque le nombre de groupes auxquels appartient l’utilisateur dépasse la limite de la taille du groupe.

    [NSHELP-22959]

  • L’authentification unique (SSO) avec les méthodes d’authentification suivantes ne fonctionne pas si la configuration SSO dans Citrix ADC et Citrix Gateway est activée uniquement au niveau global et non par niveau de trafic.

    • Authentification Citrix AG Basic
    • Authentification Kerberos
    • Authentification du porteur OAuth

    [NSAUTH-9166]

  • Dans certains cas, l’appliance Citrix ADC se bloque si une session d’authentification, d’autorisation et d’audit expirée existe pendant le nettoyage de la configuration.

    [NSAUTH-7767]

Gestion des bots

  • L’appliance Citrix ADC peut se bloquer si la technique d’empreinte digitale du robot est désactivée pendant que le trafic circule dans l’appliance.

    [NSBOT-156]

  • Une appliance Citrix ADC peut se bloquer si un profil de gestion de bot est configuré avec CAPTCHA en tant qu’action de robot.

    [NSBOT-148]

Appliance Citrix ADC SDX

  • Sur une appliance Citrix ADC SDX exécutant la version logicielle 13.0 build 64.x ou 12.1 build 58.x, un utilisateur ne peut pas télécharger la sauvegarde de l’appliance.

    [NSSVM-3952]

  • L’interface graphique SDX peut ne pas être accessible après la mise à niveau d’une appliance Citrix ADC SDX sur laquelle la gestion LA et CLAG sont configurés.

    [NSHELP-24671]

  • Les détails de l’utilisateur SNMP ne sont pas modifiés si vous modifiez le profil d’appareil d’une instance ADC provisionnée sur une appliance Citrix ADC SDX.

    [NSHELP-24488]

  • Sur une appliance Citrix ADC SDX, une instance ADC configurée avec une adresse IPv6 ne peut pas être modifiée.

    [NSHELP-24256]

  • Vous ne pouvez pas inclure de hachage (%23) dans les chaînes communautaires pour les gestionnaires SNMP et les destinations d’interruptions configurées sur une appliance Citrix ADC SDX.

    [NSHELP-23989]

  • Sur une appliance Citrix ADC SDX, les informations d’agrégation de liens des instances ADC peuvent être perdues en raison d’une situation de course entre les redécouvertes simultanées d’instances ADC.

    [NSHELP-23849]

  • Si une instance VPX a été provisionnée sur une ancienne version 11.1, les opérations de mise à jour sur l’instance VPX à l’aide de l’interface de ligne de commande SDX échouent si les conditions suivantes sont remplies :

    • L’option « Shell/SFTP/SCP Access » a été sélectionnée.
    • L’option « Ajouter une administration d’instance » n’a pas été sélectionnée.
      Ces options étaient disponibles sous « Administration des instances ». «

    [NSHELP-23683]

  • Dans certains cas, les licences ne sont pas lues correctement par le service de gestion après le redémarrage d’une appliance Citrix ADC SDX.

    [NSHELP-23619]

Citrix Gateway

  • L’appliance Citrix Gateway peut se bloquer lors d’une déconnexion de session si elle tente de supprimer la connexion à deux reprises de la session.

    [NSHELP-25443]

  • L’appliance Citrix Gateway se bloque lors de la connexion au transfert si la demande arrive sur un cœur où le délai de la session précédente a expiré.

    [NSHELP-25322]

  • Les utilisateurs ne peuvent pas accéder aux sites Web si les conditions suivantes sont remplies :

    • Le serveur proxy est soumis à un contrôle SNI strict.
    • Le serveur principal est accessible via un proxy sortant pour un VPN sans client ou SecureBrowse.
    • Le paramètre BackendServerSNI est activé.

    [NSHELP-24903]

  • L’authentification SAML ne fonctionne pas comme prévu si le serveur virtuel est configuré sur un port personnalisé.

    [NSHELP-24842]

  • Dans de rares cas, l’appliance Citrix ADC se bloque lors de l’impression des journaux de débogage si la session de connexion initiée par le serveur est déjà libérée.

    [NSHELP-24581]

  • Si vous vous connectez à Citrix Gateway et accédez à Microsoft Excel via le VPN sans client SharePoint, vous êtes déconnecté de la session créée pour Microsoft Excel.

    [NSHELP-24074]

  • Dans de rares cas, l’appliance Citrix Gateway peut se bloquer si l’adresse IP (IIP) de l’intranet est activée et qu’il existe des connexions initiées par le serveur à l’adresse IIP.

    [ NSHELP-23819 ]

  • Le plug-in Windows affiche le message Gateway not reachable si la machine cliente possède plusieurs instances des adaptateurs virtuels d’accès direct Hyper-V et WiFi.

    [NSHELP-23794]

  • Des pertes de paquets sont observées lorsqu’un serveur d’applications UDP envoie des paquets dont la taille est supérieure à la MTU et si les paquets sont fragmentés.

    [NSHELP-23770]

  • L’appliance Citrix ADC peut se bloquer lors de la déconnexion d’une session d’authentification, d’autorisation et d’audit si l’utilisateur se connecte depuis Citrix Workspace.

    [NSHELP-23623]

  • L’appliance Citrix Gateway peut se bloquer lors du lancement d’une application si la résolution du FQDN du VDA échoue.

    [NSHELP-22454]

  • Lorsque vous accédez à Microsoft Excel via le VPN sans client SharePoint, vous ne pouvez pas modifier le fichier Excel.

    [CGOP-15123]

  • La prise en charge du protocole CredSSP version 2 est supprimée. Seules les versions 5 et 6 du protocole CredSSP sont prises en charge sur les systèmes d’exploitation Windows.

    [CGOP-14308]

Citrix Web App Firewall

  • Le descripteur de fichier fuit dans aslearn lors de l’affichage de certaines données d’apprentissage XML.

    [NSWAF-6648]

  • Prise en charge de « cs7 » dans les messages du journal CEF

    Les messages du journal du Citrix Web App Firewall Common Event Format (CEF) incluent désormais un paramètre supplémentaire, « cs7 » pour le nom de l’expression du journal d’audit.

    [NSWAF-6593]

  • Dans une configuration de cluster, un message d’erreur intitulé « Erreur de communication avec aslearn » apparaît lorsque le moteur d’apprentissage tente de visualiser et de réinitialiser les données apprises.

    [NSHELP-24584]

  • Une appliance Citrix ADC peut se bloquer en raison du contexte de streaming nul dans le traitement XML et si le paramètre « MultipleHeaderAction » est défini sur « log ».

    [NSHELP-24549]

  • Une appliance Citrix ADC supprime le code d’état de la réponse si les problèmes suivants sont observés :

    • La phrase de raison est manquante et
    • Le code d’état n’est pas suivi d’un espace.

    [NSHELP-24489]

  • Dans une configuration de cluster, vous ne pouvez pas modifier ni supprimer les profils rfcprofile dans la commande set ou rm appfw rfcprofile.

    [NSHELP-2422]

  • Une appliance Citrix ADC peut se bloquer lors du contrôle de validation XML du Web App Firewall.

    [NSHELP-23562]

Équilibrage de charge

  • Lors de la synchronisation en temps réel du GSLB, le traitement par lots continu des commandes de configuration GSLB peut entraîner le transfert des commandes vers les sites subordonnés dans un ordre incorrect.

    [NSHELP-23934]

  • Lorsque GSLB est configuré dans des partitions d’administration, la commande sync gslb config -ForceSync peut supprimer toute liaison par clé de certification aux services SSL spécifiques à l’adresse IP du site GSLB.

    [NSHELP-23203]

  • Lorsque vous mettez à niveau l’appliance Citrix ADC vers la version 12.0 build 63.13, vous pouvez voir des entrées de configuration dupliquées pour les groupes de persistance d’équilibrage de charge. Par exemple, la commande « show running config » peut afficher la commande « add lb group » plusieurs fois. Il s’agit uniquement d’un problème d’affichage qui n’a aucune incidence sur les fonctionnalités. Toutefois, l’exécution de la commande « show running config » peut prendre un peu plus de temps que d’habitude.

    [NSHELP-23050]

  • Un basculement à haute disponibilité se produit dans une appliance Citrix ADC, si toutes les conditions suivantes sont remplies :

    • Les services liés à un serveur virtuel d’équilibrage de charge SIP n’en sont pas liés.
    • Les connexions sur le serveur virtuel d’équilibrage de charge SIP ne sont pas complètement vidées.
    • Les demandes des clients sont reçues sur ces connexions.

    [NSHELP-22589]

  • L’appliance Citrix ADC peut rarement se bloquer lorsqu’une valeur entière est tronquée après une série d’opérations liées à Stream Identifier.

    [NSHELP-22489]

Réseau

  • Après une mise à niveau vers Citrix ADC 12.1 build 58.x, tout échec de propagation d’une commande depuis le nœud CCO peut entraîner un échec de propagation complet. Par conséquent, les commandes supplémentaires peuvent échouer depuis le nœud CCO vers les nœuds non CCO.

    [NSNET-18028]

  • Dans une configuration de partition d’administration, l’allocation de mémoire peut échouer lorsque vous exécutez la commande « set » alors que la partition de la ressource mémoire est incorrecte.

    [NSNET-17719]

  • Si vous exécutez la commande set appflow dans une configuration de cluster, il se peut que vous ne puissiez pas créer de cluster.

    [NSHELP-24220]

  • Les problèmes suivants sont observés concernant les chaînes de communauté BGP dans l’appliance Citrix ADC :

    • Lorsque l’appliance reçoit une chaîne communautaire BGP x:65535, la session BGP est déconnectée.
    • Lorsque la fonctionnalité « bgp extended asn » n’est pas activée, le démon BGP ne gère pas la combinaison de l’attribut AS4_PATH et de certaines chaînes communautaires de la manière souhaitée. Cette mauvaise gestion entraîne le crash du démon BGP.

    [NSHELP-24119]

  • Dans une configuration à haute disponibilité, les paquets de fréquence cardiaque HA peuvent être perdus lors de l’opération « Appliquer les ACL » pour certaines règles ACL.

    [NSHELP-23663]

  • Dans une configuration de haute disponibilité en mode INC, les sessions BFD sont perdues après un basculement.

    [NSHELP-23648]

  • Les paramètres BFD peuvent ne pas s’appliquer à une appliance Citrix ADC après plusieurs redémarrages durs de l’appliance.

    [NSHELP-23471]

  • Après avoir entré et quitté le shell VTYSH dans une appliance Citrix ADC, le lien symbolique pour « /nsconfig/syslog.conf » dans « /etc/syslog.conf » peut être supprimé. Par conséquent, les modifications apportées à « /nsconfig/syslog.conf » ne sont pas reflétées dans « /etc/syslog.conf ».

    [NSHELP-23200]

  • Une appliance Citrix ADC peut se bloquer pendant le déploiement si les conditions suivantes sont respectées :

    • Le protocole TCP multichemin (MPTCP) est activé avec MBF et PMTUD
    • Le trafic MPTCP est reçu et la réponse provoque l’erreur ICMP Fragmentation Needed.

    [NSHELP-22418]

  • Lorsque vous ajoutez une interface esclave avec Jumbo MTU au canal d’agrégation de liens utilisé comme fond de panier, le message d’avertissement suivant s’affiche de manière incorrecte :

    « Le MTU d’une interface de fond de panier doit être suffisamment grand pour gérer tous les paquets. Elle doit être égale à (valeur MTU). Si la valeur recommandée n’est pas configurable, veuillez consulter la MTU des interfaces Jumbo. «

    Il ne s’agit que d’un problème d’affichage et il n’y a aucun impact sur la fonctionnalité.

    [NSHELP-20794]

Plateforme

  • La mise à niveau sur une appliance Citrix ADC SDX échoue en raison d’un manque d’espace.

    [NSHELP-24066]

  • Lors d’une opération de redémarrage, le Citrix ADC SDX 15000-50G peut ne pas redémarrer complètement lorsque toutes les interfaces 10G et 50G sont configurées en tant que canaux LACP avec 9000 MTU. Les interfaces 50G peuvent également disparaître après le redémarrage.

    [NSHELP-23104]

  • La demande d’API ou l’accès à l’interface graphique NITRO à une appliance Citrix ADC échoue si l’appliance reste inactive en raison d’une activité de gestion via HTTP (S) pendant plus de six jours.

    [NSHELP-22849]

Stratégies

  • Le champ cible de l’action du répondeur de type « NOOP » n’est pas enregistré dans le fichier de configuration (ns.conf). Par conséquent, lorsque vous redémarrez votre appliance, il y a une perte de configuration.

    [NSHELP-23772]

  • Un message d’erreur « Le répertoire n’existe pas » apparaît sur la page d’interface graphique d’importation d’objets de page HTML après la mise à niveau de l’appliance Citrix ADC version 11.1 build 63.15.

    [NSHELP-22826]

  • Une appliance Citrix ADC peut se bloquer si vous configurez la fonction MATCHES_LOCATION () dans une expression de politique et que vous démarrez nstrace à l’aide d’une expression de filtre.

    [NSHELP-22687]

  • Un message d’erreur qui s’affichait lorsqu’une erreur d’espace de noms XML se produisait n’était pas clair et suffisamment descriptif pour indiquer aux utilisateurs comment résoudre le problème.

    [NSHELP-18283]

SSL

  • Dans de rares cas, une appliance Citrix ADC se bloque si les conditions suivantes sont remplies :

    • Un serveur virtuel SSL reçoit un message Client Hello dont l’en-tête d’enregistrement SSL est divisé en deux paquets TCP ou plus.
    • Une politique liée au client hello avec une action directe spécifiée renvoie la valeur true.
    • La somme de contrôle TCP du paquet, qui complète l’en-tête d’enregistrement du message Client Hello, contient le modèle 0xXX 0x16.

    [NSHELP-23754]

Système

  • Une appliance Citrix ADC peut se bloquer si AppFlow est activé après l’établissement de la connexion côté serveur.

    [NSHELP-24546]

  • Si le module de réécriture ou l’en-tête HSTS (HTTP strict transport security) modifie un paquet et le divise en deux, le système de prévention des intrusions (IPS) libère le second paquet. Cela entraîne la corruption du flux de paquets vers le client et n’autorise ainsi qu’une réponse partielle au client.

    [NSHELP-24294]

  • Une appliance Citrix dont le paramètre de chaînage des connexions est activé peut se bloquer si les conditions suivantes sont remplies :

    • Le paquet entrant possède des options TCP de plus de 20 octets.
    • L’appliance essaie d’insérer 20 octets supplémentaires, ce qui entraîne un débordement du protocole TCP.

    [NSHELP-23322]

  • L’appliance Citrix ADC MPX 26000-100G peut ne plus répondre si le processus d’agrégation devient instable.

    [NSBASE-11747]

Interface utilisateur

  • L’option « Déchiffrer uniquement » n’est pas correctement orthographiée sur la page GUI des paramètres de cohérence des cookies.

    [NSUI-16857]

  • Lorsque vous modifiez une règle de relaxation sur la page de l’interface graphique du profil du Web Application Firewall, un message d’erreur s’affiche en bas de page. L’erreur se produit en raison d’un problème de structure interne.

    [NSUI-16806]

  • Dans une configuration de cluster, la fonctionnalité « Gestion des robots » n’apparaît pas sous Sécurité dans le menu de navigation.

    [NSUI-16796]

  • L’interface graphique de Citrix ADC n’affiche peut-être pas le bouton Enregistrer et actualiser dans le navigateur Microsoft Internet Explorer.

    [NSHELP-24774]

  • Un message d’erreur WSI intermittent : Argument obligatoire manquant [ProfileName] apparaît sur l’interface graphique de Citrix ADC lorsque l’appliance Citrix ADC appelle l’API « appfwlearningdata » pour les opérations suivantes.

    • XMLDOS
    • Pièce jointe XML
    • Contrôle WSI

    [NSHELP-24648]

  • Le comportement suivant est observé à la fois dans les configurations en cluster et en haute disponibilité :
    • Dans une configuration de cluster, un fichier supprimé du chemin « /nsconfig/ssl » du CLIP ne se reflète pas sur le nœud non-CCO, même après la synchronisation.
    • Dans une configuration à haute disponibilité, un fichier supprimé du chemin « /nsconfig/ssl » du nœud principal ne se reflète pas sur le nœud secondaire, même après la synchronisation.

    [NSHELP-24578]

  • L’interface graphique Citrix ADC affiche un nombre inférieur d’objets mis en cache par rapport à l’interface de commande.

    [NSHELP-24337]

  • Après une mise à niveau vers Citrix ADC 13.0 build 56.x, les évaluateurs regex de Citrix Web App Firewall ne fonctionnent pas comme prévu.

    [NSHELP-24212]

  • L’interface graphique de Citrix ADC n’affiche pas les données statistiques « Top CLIENT.UDP.DNS.DOMAIN » au format graphique pour l’identifiant de flux sélectionné.

    [NSHELP-23777]

  • Après avoir exécuté la commande « saveconfig - all », le dernier temps enregistré pour les partitions d’administration n’est pas correctement mis à jour.

    [NSHELP-23740]

  • La synchronisation en temps réel de la configuration GSLB du site principal vers les sites subordonnés ne se produit pas lorsque vous exécutez la commande « set cs policy ».

    [NSHELP-23393]

  • Dans une appliance Citrix ADC, HTTPD peut vider le cœur lors du traitement des appels d’API NITRO.

    [NSHELP-23208]

  • Dans l’interface graphique de Citrix ADC, la page Profils du Web App Firewall ne contient pas les options de navigation suivantes ou précédentes permettant d’afficher plus de 25 profils dans le volet de liste.

    Navigation : Sécurité->Citrix Web App Firewall->Profils

    [NSHELP-22622]

  • L’outil de comparaison de configuration « nsconfigaudit » ne conserve pas l’ordre des commandes au sein du même groupe de ressources lors de la génération des commandes correctives.

    [NSHELP-21791]

  • Sur une appliance Citrix ADC MPX, pour passer de la licence de capacité groupée à une licence perpétuelle, vous devez d’abord supprimer la configuration de licences groupées, puis supprimer la licence de capacité groupée.

    [NSCONFIG-4167]

Problèmes connus

Les problèmes qui existent dans la version 13.0-67.43.

Authentification, autorisation et audit

  • Vous ne pouvez pas désactiver l’attribut de groupe à partir de « memberof » sur le serveur LDAP lors de la configuration via l’interface graphique Citrix ADC.

    [NSHELP-26199]

  • Une appliance Citrix ADC n’authentifie pas les tentatives de connexion par mot de passe en double et empêche le verrouillage des comptes.

    [NSHELP-563]

  • Le schéma de connexion DualAuthPushOrOTP.xml ne s’affiche pas correctement dans l’écran de l’éditeur de schéma de connexion de l’interface graphique Citrix ADC.

    [ NSAUTH-6106 ]

  • Le profil proxy ADFS peut être configuré dans un déploiement de cluster. L’état d’un profil proxy est affiché de manière incorrecte comme vide lors de l’exécution de la commande suivante.
    show adfsproxyprofile <profile name>

    Solution : connectez-vous au Citrix ADC actif principal du cluster et exécutez la show adfsproxyprofile <profile name> commande. Il afficherait l’état du profil proxy.

    [ NSAUTH-5916 ]

  • Le message « Aucune politique de ce type n’existe » peut s’afficher sur la page nFactor Flow de nFactor Visualizer lorsque vous essayez de dissocier une politique d’un facteur. L’option de dissociation fonctionne comme prévu.

    [NSAUTH-5821]

Mise en cache

  • Une appliance Citrix ADC peut tomber en panne si la fonctionnalité de mise en cache intégrée est activée et que la mémoire de l’appliance est insuffisante.

    [ NSHELP-22942 ]

Citrix Gateway

  • L’appliance Citrix Gateway se bloque lorsqu’une connexion initiée par un serveur envoie des paquets de données après la fermeture de la connexion.

    [NSHELP-26431]

  • La page de connexion de Citrix Gateway affiche une erreur indiquant que la connexion a échoué si la séquence de conditions suivante est remplie. L’erreur apparaît même si l’utilisateur n’a pas essayé de se reconnecter.

    1. La connexion à Citrix Gateway échoue.
    2. La connexion à Citrix Gateway réussit.
    3. L’utilisateur se déconnecte.

    [NSHELP-25157]

  • Gateway Insight n’affiche pas d’informations précises sur les utilisateurs du VPN.

    [ NSHELP-23937 ]

  • Les faux échecs de lancement d’applications sont signalés dans Gateway Insight. Les échecs de lancement sont signalés lorsqu’il n’y a aucun lancement d’application ou de bureau.

    [NSHELP-23047]

  • L’appliance Citrix ADC cesse de répondre si les conditions suivantes sont remplies :

    • DTLS est activé.
    • Le multiplexage UDP utilise un canal DTLS et pompe le trafic à un débit élevé.

    [NSHELP-22987]

  • Parfois, lorsque vous parcourez les schémas, le message d’erreur « Impossible de lire le type de propriété non défini » apparaît.

    [ NSHELP-21897 ]

  • Lors de l’ajout d’un serveur virtuel d’authentification à l’aide des assistants XenApp et XenDesktop, le test de connectivité pour ce serveur d’authentification échoue.

    [CGOP-16792]

  • L’ouverture de session de transfert ne fonctionne pas si les deux conditions suivantes sont remplies :

    • L’authentification NFactor est configurée.
    • Le thème Citrix ADC est défini sur Par défaut.

    [CGOP-14092]

  • Le rapport Gateway Insight affiche de manière incorrecte la valeur « Local » au lieu de « SAML » dans le champ Type d’authentification en cas d’échec d’erreur SAML.

    [ CGOP-13584 ]

  • Dans une configuration haute disponibilité, lors du basculement Citrix ADC, le nombre de SR est incrémenté au lieu du nombre de basculements dans Citrix ADM.

    [ CGOP-13511 ]

  • Lors de l’acceptation des connexions hôtes locales depuis le navigateur, la boîte de dialogue Accepter la connexion pour macOS affiche le contenu en anglais, quelle que soit la langue sélectionnée.

    [ CGOP-13050 ]

  • Le texte « Page d’accueil » dans l’ application Citrix SSO > Page d’accueil est tronqué pour certaines langues.

    [ CGOP-13049 ]

  • Un message d’erreur apparaît lorsque vous ajoutez ou modifiez une stratégie de session à partir de l’interface graphique Citrix ADC.

    [ CGOP-11830 ]

  • Dans Outlook Web App (OWA) 2013, le fait de cliquer sur Options dans le menu Paramètres affiche une boîte de dialogue Erreur critique . De plus, la page ne répond plus.

    [ CGOP-7269 ]

Équilibrage de charge

  • Dans une configuration haute disponibilité, les sessions d’abonné du nœud principal peuvent ne pas être synchronisées avec le nœud secondaire. C’est un cas rare.

    [ NSLB-7679 ]

  • Une appliance Citrix ADC peut se bloquer lors du traitement d’un paquet SIP (Session Initiation Protocol) non valide.

    [NSHELP-26202]

  • Lorsqu’un serveur virtuel de commutation de contenu reçoit une requête HTTPS, le cookie le plus volumineux de la requête HTTPS entraîne un dépassement de la mémoire tampon et une corruption de la pile lorsque les conditions suivantes sont remplies :

    • Le format du cookie est incorrect.
    • La longueur du cookie est supérieure à 32 octets.

    [NSHELP-25932]

  • Lorsque vous modifiez l’adresse IP du serveur principal d’un serveur dont le nom n’est pas identique à son adresse IP, il se peut que vous ne puissiez pas enregistrer la configuration complète. Ce cas est rare et peut se produire si la mémoire de l’appliance Citrix ADC est faible.

    [NSHELP-24329]

  • La génération d’alarmes SNMP peut être retardée si la synchronisation de la configuration entre le site principal et les sites subordonnés échoue.

    [NSHELP-23391]

Réseau

  • Lorsque le nombre de fichiers de sauvegarde Newnslog augmente, cela peut entraîner une pénurie d’espace disque pour une instance Citrix ADC CPX en cours d’exécution au fil du temps. La variable d’environnement NEWNSLOG_MAX_FILENUM vous permet de contrôler le nombre de fichiers de sauvegarde. En définissant la valeur de la variable d’environnement sur 10, vous pouvez limiter le nombre maximum de fichiers de sauvegarde newnslog à 10.

    [NSNET-20261]

  • Une appliance Citrix ADC BLX prend désormais en charge la fonctionnalité de protocole de routage dynamique Citrix ADC IPv6 OSPF (OSPFv3). Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/current-release/networking/ip-routing/configuring-dynamic-routes/configuring-ipv6-ospf.html.

    [NSNET-19567]

  • Une appliance Citrix ADC BLX en mode DPDK ne détecte aucune interface si vous avez lié l’interface à DPDK à l’état DOWN.

    Solution : ne liez pas les interfaces DOWN à DPDK.

    [ NSNET-16561 ]

  • Les opérations d’interface suivantes ne sont pas prises en charge dans une appliance Citrix ADC BLX :

    • Désactiver
    • Activer
    • Réinitialiser

    [ NSNET-16559 ]

  • Une appliance Citrix ADC peut se bloquer si les conditions suivantes sont réunies :

    • L’option de persistance est activée dans la configuration de l’équilibrage de charge des liens IPv6 (LLB6).
    • Certaines connexions fictives IPv6 sont créées pour cette configuration LLB6

    [NSHELP-25695]

  • Lorsque vous envoyez des configurations aux instances du cluster à l’aide d’un StyleBook, les commandes échouent avec le message d’erreur « La propagation des commandes a échoué ».
    Lors de défaillances successives, le cluster conserve la configuration partielle.
    Solution :

    1. Identifiez les commandes qui ont échoué dans le journal.
    2. Appliquez manuellement les commandes de récupération aux commandes qui ont échoué.

    [NSHELP-24910]

Plateforme

  • Sur une appliance Citrix ADC SDX 15000-50G, en cas de brève augmentation du trafic de données non dirigé vers aucune des instances ADC VPX, le problème suivant peut se produire :

    • La liaison LACP sur les ports 10G peut se rompre par intermittence ou tomber en panne de façon permanente.

    Solution :

    1. Découvrez le port ethX interne correspondant au port 10G
    2. Exécutez la commande suivante sur l’invite de commande Citrix Hypervisor : ethtool -G ethX rx 4096 tx 512
    3. Passez en revue le profil de trafic pour bloquer le trafic indésirable côté commutateur

    [NSHELP-25561]

  • Par défaut, le moniteur de haute disponibilité (HAMON) et le rythme cardiaque HA sont désactivés sur une interface de gestion configurée en tant qu’interface de gestion interne. De plus, les battements cardiaques HAMON et HA ne peuvent pas être activés sur cette interface.
    Plus tard, si la même interface est reconfigurée en tant qu’interface de gestion et que l’instance VPX est redémarrée, les options de rythme cardiaque HAMON et HA sont toujours désactivées.
    Toutefois, vous pouvez désormais activer ces options manuellement pour éviter tout problème lié à la configuration HA.

    [NSHELP-21803]

Stratégies

  • Les connexions peuvent être bloquées si la taille du traitement des données est supérieure à la taille de la mémoire tampon TCP par défaut configurée.

    Solution : définissez la taille de la mémoire tampon TCP sur la taille maximale des données à traiter.

    [ NSPOLICY-1267 ]

  • Le problème suivant peut provoquer un basculement dans une configuration à haute disponibilité :

    Si de nombreux paquets non HTTP et non TCP sont mis en file d’attente en attente de traitement après le blocage de leur traitement.

    [NSHELP-23506]

SSL

  • Sur un cluster hétérogène d’appliances Citrix ADC SDX 22000 et Citrix ADC SDX 26000, il y a perte de configuration des entités SSL si l’appliance SDX 26000 est redémarrée.

    Solution :

    1. Sur le CLIP, désactivez SSLv3 sur toutes les entités SSL existantes et nouvelles, telles que le serveur virtuel, le service, le groupe de services et les services internes. Par exemple, set ssl vserver <name> -SSL3 DISABLED.
    2. Enregistrez la configuration.

    [NSSSL-9572]

  • La commande Mettre à jour n’est pas disponible pour les commandes d’ajout suivantes :

    • add azure application
    • add azure keyvault
    • add ssl certkey with hsmkey option

    [NSSSL-6484]

  • Vous ne pouvez pas ajouter d’objet Azure Key Vault si un objet Azure Key Vault d’authentification est déjà ajouté.

    [NSSSL-6478]

  • Vous pouvez créer plusieurs entités d’application Azure avec le même ID client et le même secret client. L’appliance Citrix ADC ne renvoie pas d’erreur.

    [NSSSL-6213]

  • Le message d’erreur incorrect suivant s’affiche lorsque vous supprimez une clé HSM sans spécifier KEYVAULT comme type HSM.
    ERREUR : actualisation de la CRL désactivée

    [NSSSL-6106]

  • L’actualisation automatique de la clé de session apparaît incorrectement comme désactivée sur une adresse IP de cluster. (Cette option ne peut pas être désactivée.)

    [NSSSL-4427]

  • Un message d’avertissement incorrect, « Avertissement : aucun chiffrement utilisable configuré sur le serveur/service SSL » s’affiche si vous essayez de modifier le protocole ou le chiffrement SSL dans le profil SSL.

    [NSSSL-4001]

  • Dans une configuration de cluster, vous pouvez rencontrer les problèmes suivants :

    • Commande manquante pour la liaison de la paire de clés de certificat par défaut aux services internes SSL sur le CLIP. Toutefois, si vous effectuez une mise à niveau à partir d’une version antérieure, vous devrez peut-être lier la paire de clés de certificat par défaut aux services internes SSL concernés sur le CLIP.
    • Différence de configuration entre le CLIP et les nœuds de la commande set par défaut pour les services internes.
    • Commande de liaison de chiffrement par défaut manquante aux entités SSL dans la sortie de la commande show running config exécutée sur un nœud. L’omission n’est qu’un problème d’affichage et n’a aucun impact fonctionnel. La liaison peut être visualisée à l’aide de la commande show ssl <entity> <name>.

    [ NSHELP-25764 ]

  • Dans une configuration de cluster, les modifications de configuration des certificats ne sont pas autorisées si des fichiers de certificat ou de clé sont supprimés.

    [NSHELP-24913]

Interface utilisateur

  • L’assistant de création/surveillance du CloudBridge Connector peut ne plus répondre ou ne parvient pas à configurer un connecteur CloudBridge.

    Solution : configurez les connecteurs Cloudbridge en ajoutant des profils IPsec, des tunnels IP et des règles PBR à l’aide de l’interface graphique ou de l’interface de ligne de commande Citrix ADC.

    [NSUI-13024]

  • Une vue de persistance du serveur virtuel d’équilibrage de charge n’affiche pas tous les paramètres lorsque vous modifiez une configuration de persistance de serveur virtuel existante.

    [NSHELP-25965]

  • Dans une configuration de cluster, un délai est observé lorsqu’une configuration importante (par exemple, 100 adresses IP virtuelles d’équilibrage de charge sont liées à un profil Citrix Web App Firewall avec plusieurs politiques de réponse et ensembles de patsets IP) est provisionnée sur tous les nœuds du cluster.

    [NSHELP-25458]

  • Le bouton Actualiser ne fonctionne pas lorsque vous vérifiez les sessions de streaming (AppExpert > Action Analytics > Stream Identifier) dans l’interface graphique.

    [NSHELP-24195]

  • Le chargement et l’ajout d’un fichier de liste de révocation de certificats (CRL) échouent dans la configuration d’une partition d’administration.

    [ NSHELP-20988 ]

  • Une appliance Citrix ADC ne prend pas en charge l’ajout de fichiers CRL supérieurs à 2 Mo à l’aide des API NITRO.

    [NSHELP-20821]

  • Dans une appliance Citrix ADC BLX, l’onglet « Rapports » de l’interface graphique peut ne pas fonctionner comme prévu.

    [NSCONFIG-4877]

  • Lorsque vous rétrogradez une appliance Citrix ADC version 13.0-71.x vers une version antérieure, certaines API Nitro peuvent ne pas fonctionner en raison des modifications des autorisations de fichiers.

    Solution : remplacez l’autorisation pour « /nsconfig/ns.conf » par 644.

    [NSCONFIG-4628]

  • La connexion entre l’instance ADC et le service ADM est perdue lorsque les conditions suivantes sont remplies :

    • L’instance est ajoutée au service ADM à l’aide d’un agent intégré.
    • L’instance est mise à niveau à l’aide de l’option -Y ou à partir de l’interface graphique ADM. Dans les deux cas, l’agent intégré ne redémarre pas. L’option -Y fournit la réponse Oui à toutes les questions relatives à la mise à niveau qui apparaissent sur l’interface de ligne de commande ou l’interface graphique.

    [NSCONFIG-4368]

  • La synchronisation des signatures du pare-feu d’application avec des nœuds non CCO peut parfois prendre beaucoup de temps. Par conséquent, les commandes utilisant ces fichiers peuvent échouer.

    [NSCONFIG-4330]

  • Si vous (administrateur système) effectuez toutes les étapes suivantes sur un dispositif Citrix ADC, les utilisateurs système risquent de ne pas se connecter à l’appliance Citrix ADC rétrogradée.

    1. Mettez à niveau l’appliance Citrix ADC vers l’une des versions suivantes :
    • 13.0 52.24 build
    • 12.1 57.18 build
    • 11.1 65.10 build
    1. Ajoutez un utilisateur système ou modifiez le mot de passe d’un utilisateur système existant, puis enregistrez la configuration, et
    2. Mettez à niveau l’appliance Citrix ADC vers une version antérieure.

    Pour afficher la liste de ces utilisateurs du système à l’aide de l’interface de ligne de commande :
    À l’invite de commandes, tapez :

    query ns config -changedpassword [-config <full path of the configuration file (ns.conf)>]

    Solution :

    Pour résoudre ce problème, utilisez l’une des options indépendantes suivantes :

    • Si l’appliance Citrix ADC n’est pas encore rétrogradée (étape 3 des étapes mentionnées ci-dessus), rétrogradez l’appliance Citrix ADC à l’aide d’un fichier de configuration précédemment sauvegardé (ns.conf) de la même version.
    • Tout administrateur système dont le mot de passe n’a pas été modifié lors de la version mise à niveau peut se connecter à la version rétrogradée et mettre à jour les mots de passe des autres utilisateurs du système.
    • Si aucune des options ci-dessus ne fonctionne, un administrateur système peut réinitialiser les mots de passe des utilisateurs système.

    Pour plus d’informations, consultez https://docs.citrix.com/en-us/citrix-adc/13/system/ns-ag-aa-intro-wrapper-con/ns-ag-aa-reset-default-amin-pass-tsk.html

    [NSCONFIG-3188]

Notes de publication pour la version 13.0-67.43 de Citrix ADC