CVE-2021-22927 と CVE-2021-22920 の脆弱性を修復します
Citrix ADMセキュリティアドバイザリダッシュボードの [ 現在のCVE] > [ <number of> ADCインスタンスはCVEの影響を受ける] で、CVE-2021-22927およびCVE-2021-22920によって脆弱なすべてのインスタンスを確認できます。これら 2 つの CVE の影響を受けるインスタンスの詳細を確認するには、1 つ以上の CVE を選択し、「影響を受けるインスタンスを表示」をクリックします。
注
セキュリティアドバイザリシステムのスキャンが終了し、CVE-2021-22927 と CVE-2021-22920 の影響をセキュリティアドバイザリモジュールに反映させるには、数時間かかる場合があります。影響をより早く確認するには、[ Scan-Now] をクリックしてオンデマンドスキャンを開始します。 セキュリティアドバイザリダッシュボードの詳細については、 セキュリティアドバイザリを参照してください。
<number of> CVEの影響を受けるADCインスタンスのウィンドウが表示されます 。次の画面キャプチャでは、CVE-2021-22927 と CVE-2021-22920 の影響を受ける ADC インスタンスの数と詳細を確認できます。
CVE-2021-22927 と CVE-2021-22920 を修復してください
CVE-2021-22927 および CVE-2021-22920 の影響を受ける ADC インスタンスの場合、修正は 2 段階のプロセスです。GUIの「 現在のCVE」>「ADCインスタンスはCVEの影響を受ける」で、手順1と2を確認できます。
次の 2 つのステップがあります。
- 脆弱な ADC インスタンスを、修正されたリリースとビルドにアップグレードします。
- カスタマイズ可能な組み込み構成テンプレートを使用して、必要な構成コマンドを構成ジョブに適用します。脆弱なADCごとにこの手順を1つずつ実行し、そのADCのすべてのSAMLアクションを含めてください。
注
CVE-2020-8300の ADC インスタンスで設定ジョブをすでに実行している場合は、ステップ 2 をスキップしてください。
「 Current CVES > CVE の影響を受ける ADC インスタンス」に、この 2 段階の修正プロセスについて、「 アップグレードワークフローに進む」と「設定ジョブワークフローに進む」の 2 つのワークフローが表示されます。
ステップ 1: 脆弱な ADC インスタンスをアップグレードする
脆弱なインスタンスをアップグレードするには、インスタンスを選択し、[ ワークフローのアップグレードに進む] をクリックします。アップグレードワークフローは、脆弱な ADC インスタンスが既に入力されている状態で始まります。
Citrix ADM を使用してADCインスタンスをアップグレードする方法について詳しくは、「 ADCアップグレードジョブの作成」を参照してください。
注
このステップは、脆弱なすべての ADC インスタンスに対して一度に行うことができます。 注
CVE-2021-22920 および CVE-2021-22927 に対して脆弱なすべての ADC インスタンスについてステップ 1 を完了したら、オンデマンドスキャンを実行します。 Current CVEの最新のセキュリティ体制は 、ADCインスタンスがこれらのCVEに対して依然として脆弱であるかどうかを理解するのに役立ちます。新しい姿勢から、構成ジョブを実行する必要があるかどうかも確認できます。 CVE-2020-8300 の ADC インスタンスに適切な設定ジョブを既に適用していて、ADC インスタンスをアップグレードした場合、オンデマンドスキャンを実行した後、インスタンスが CVE-2020-8300、CVE-2021-22920、および CVE-2021-22927 に対して脆弱であるとは表示されなくなります。
ステップ 2: 設定コマンドを適用する
影響を受けるインスタンスをアップグレードしたら、 <number of> CVEの影響を受けるADCインスタンスウィンドウで、CVE-2021-22927とCVE-2021-22920の影響を受けるインスタンスを1つ選択し 、「 設定ジョブのワークフローに進む」をクリックします。ワークフローには次のステップが含まれます。
- 構成をカスタマイズします。
- 自動入力された影響を受けるインスタンスを確認する。
- ジョブの変数への入力を指定する。
- 変数入力を入力して最終構成を確認します。
- ジョブを実行しています。
インスタンスを選択して [ 設定ジョブのワークフローに進む] をクリックする前に、次の点に注意してください。
-
複数の CVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956 など)の影響を受ける ADC インスタンスの場合: インスタンスを選択して [設定ジョブのワークフローに進む] をクリックしても、組み込みの設定テンプレートは [設定の選択] に自動入力されません。セキュリティアドバイザリテンプレートの下にある適切な設定ジョブテンプレートを右側の設定ジョブペインに手動でドラッグアンドドロップします 。
-
CVE-2021-22956 の影響を受ける複数の ADC インスタンスのみ:すべてのインスタンスで一度に構成ジョブを実行できます。たとえば、ADC 1、ADC 2、ADC 3 があって、それらすべてがCVE-2021-22956の影響を受けるだけだとします。 これらのインスタンスをすべて選択して [設定ジョブのワークフローに進む] をクリックすると、組み込みの設定テンプレートが[設定の選択]に自動入力されます。 リリースノートの既知の問題であるNSADM-80913を参照してください。
-
CVE-2021-22956 およびその他の 1 つ以上の CVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 など)の影響を受ける複数の ADC インスタンスで、各 ADC に修正を一度に適用する必要がある場合: これらのインスタンスを選択して [設定ジョブのワークフローに進む] をクリックすると、エラーが表示されます各 ADC で一度に構成ジョブを実行するように指示するメッセージが表示されます。
ステップ 1: 構成を選択する
設定ジョブのワークフローでは、組み込みの構成ベーステンプレートが [構成の選択]に自動的に入力されます。
注
ステップ 2 で設定コマンドを適用するために選択した ADC インスタンスが CVE-2021-22927、CVE-2021-22920、および CVE-2020-8300 に対して脆弱である場合、CVE-2020-8300 の基本テンプレートは自動的に入力されます。CVE-2020-8300テンプレートは、3つのCVEすべてに必要な設定コマンドのスーパーセットです。ADC インスタンスのデプロイと要件に応じて、この基本テンプレートをカスタマイズします。
影響を受けるADCインスタンスごとに個別の構成ジョブを1つずつ実行し、そのADCのすべてのSAMLアクションを含める必要があります。たとえば、脆弱な ADC インスタンスが 2 つあり、それぞれに 2 つの SAML アクションがある場合、この設定ジョブを 2 回実行する必要があります。ADC ごとに 1 回、すべての SAML アクションをカバーします。
| ADC 1 | ADC2 |
|---|---|
| ジョブ 1:2 つの SAML アクション | ジョブ 2:2 つの SAML アクション |
ジョブに名前を付け、次の仕様に合わせてテンプレートをカスタマイズします。組み込みの構成テンプレートは、単なるアウトラインまたは基本テンプレートです。次の要件に合わせて、デプロイメントに基づいてテンプレートをカスタマイズします。
a.SAML アクションとそれに関連するドメイン
導入環境内の SAML アクションの数に応じて、1 ~ 3 行目を複製し、各 SAML アクションのドメインをカスタマイズする必要があります。
たとえば、2 つの SAML アクションがある場合、1 ~ 3 行目を 2 回繰り返し、それに応じて各 SAML アクションの変数定義をカスタマイズします。
また、SAML アクションに N 個のドメインがある場合は、 bind patset $saml_action_patset$ “$saml_action_domain1$” その行を複数回手動で入力して、その SAML アクションに対して行が N 回表示されるようにする必要があります。そして、次の変数定義名を変更してください。
-
saml_action_patset: は設定テンプレート変数で、SAML アクションのパターンセット (patset) の名前の値を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。 -
saml_action_domain1: は設定テンプレート変数で、その特定の SAML アクションのドメイン名を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。
デバイスのすべての SAML アクションを検索するには、コマンドshow samlactionを実行します。
ステップ 2: インスタンスを選択する
影響を受けるインスタンスは [インスタンスの選択]に自動的に入力されます。インスタンスを選択して [ 次へ] をクリックします。
ステップ 3: 変数値を指定する
変数値を入力します。
-
saml_action_patset: SAML アクションの名前を追加 -
saml_action_domain1: ドメインを次の形式で入力しますhttps://<example1.com>/ -
saml_action_name: ジョブを設定している SAML アクションと同じものを入力します
ステップ 4: 構成をプレビューする
設定に挿入された変数値をプレビューし、[ 次へ] をクリックします。
ステップ 5: ジョブを実行する
「 完了 」をクリックして構成ジョブを実行します。
ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。
すべての脆弱なADCに対して2つの修復手順を完了したら、オンデマンドスキャンを実行して修正されたセキュリティ体制を確認できます。
シナリオ
このシナリオでは、2 つの ADC インスタンスが CVE-2021-22920 に対して脆弱であるため、すべてのインスタンスを修正する必要があります。次の手順を実行します:
-
このドキュメントの「インスタンスのアップグレード」セクションに記載されている手順に従って、3 つの ADC インスタンスをすべてアップグレードします。
-
コンフィグレーション・ジョブのワークフローを使用して、コンフィグレーション・パッチをADCに1つずつ適用します。このドキュメントの「設定コマンドの適用」セクションに記載されている手順を参照してください。
脆弱な ADC 1 には 2 つの SAML アクションがあります。
- SAML アクション 1 には 1 つのドメインがあります
- SAML アクション 2 には 2 つのドメインがあります
ADC 1 を選択し、「 設定ジョブのワークフローに進む」をクリックします。ビルトインの基本テンプレートは自動的に入力されます。次に、ジョブ名を指定し、指定された構成に従ってテンプレートをカスタマイズします。
次の表は、カスタマイズされたパラメータの変数定義を示しています。
テーブル。SAML アクションの変数定義
| ADC 構成 | patset の変数定義 | SAML アクション名の変数定義 | ドメインの変数定義 |
|---|---|---|---|
| SAML アクション 1 には 1 つのドメインがあります | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| SAML アクション 2 には 2 つのドメインがあります | saml_action_patset2 | saml_action_name2 | saml_action_domain2, saml_action_domain3 |
[インスタンスを選択]で [ADC 1] を選択し、[ 次へ] をクリックします。 [変数値の指定 ] ウィンドウが表示されます。このステップでは、前のステップで定義したすべての変数の値を指定する必要があります。
次に、変数を確認します。
[ 次へ ] をクリックし、[ 完了 ] をクリックしてジョブを実行します。
ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。
ADC1の2つの修復手順を完了したら、同じ手順に従ってADC 2とADC 3を修正します。修正が完了したら、オンデマンドスキャンを実行して、修正されたセキュリティ体制を確認できます。