CVE-2020-8300の脆弱性を修復してください
Citrix ADMセキュリティアドバイザリダッシュボードの「 現在のCVE」>「 <number of> ADCインスタンスはCVEの影響を受ける」で、この特定のCVEによって脆弱なすべてのインスタンスを確認できます。CVE-2020-8300 の影響を受けるインスタンスの詳細を確認するには、 CVE-2020-8300 を選択し、「 影響を受けるインスタンスを表示」をクリックします。
注
セキュリティアドバイザリダッシュボードの詳細については、 セキュリティアドバイザリを参照してください。
<number of> CVEの影響を受けるADCインスタンスのウィンドウが表示されます 。ここでは、CVE-2020-8300の影響を受けたADCインスタンスの数と詳細を確認できます。
CVE-2020-8300を修復してください
CVE-2020-8300 の影響を受ける ADC インスタンスの場合、修正は 2 段階のプロセスです。GUIの「 現在のCVE」>「ADCインスタンスはCVEの影響を受ける」で、手順1と2を確認できます。
次の 2 つのステップがあります。
- 脆弱な ADC インスタンスを、修正されたリリースとビルドにアップグレードします。
- カスタマイズ可能な組み込み構成テンプレートを使用して、必要な構成コマンドを構成ジョブに適用します。脆弱なADCごとにこの手順を1つずつ実行し、そのADCのすべてのSAMLアクションとSAMLプロファイルを含めてください。
「 Current CVES > CVE の影響を受ける ADC インスタンス」に、この 2 段階の修正プロセスについて、「 アップグレードワークフローに進む」と「設定ジョブワークフローに進む」の 2 つのワークフローが表示されます。
ステップ 1: 脆弱な ADC インスタンスをアップグレードする
脆弱なインスタンスをアップグレードするには、インスタンスを選択し、[ ワークフローのアップグレードに進む] をクリックします。アップグレードワークフローは、脆弱な ADC インスタンスが既に入力されている状態で始まります。
Citrix ADM を使用してADCインスタンスをアップグレードする方法について詳しくは、「 ADCアップグレードジョブの作成」を参照してください。
注
このステップは、脆弱なすべての ADC インスタンスに対して一度に行うことができます。
ステップ 2: 設定コマンドを適用する
影響を受けるインスタンスをアップグレードしたら、 <number of> CVEの影響を受けるADCインスタンスウィンドウで、CVE-2020-8300の影響を受けるインスタンスを1つ選択し 、「 設定ジョブのワークフローに進む」をクリックします。ワークフローには次のステップが含まれます。
- 構成をカスタマイズします。
- 自動入力された影響を受けるインスタンスを確認する。
- ジョブの変数への入力を指定する。
- 変数入力を入力して最終構成を確認します。
- ジョブを実行しています。
インスタンスを選択して [ 設定ジョブのワークフローに進む] をクリックする前に、次の点に注意してください。
-
複数の CVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956 など)の影響を受ける ADC インスタンスの場合: インスタンスを選択して [設定ジョブのワークフローに進む] をクリックしても、組み込みの設定テンプレートは [設定の選択] に自動入力されません。セキュリティアドバイザリテンプレートの下にある適切な設定ジョブテンプレートを右側の設定ジョブペインに手動でドラッグアンドドロップします 。
-
CVE-2021-22956 の影響を受ける複数の ADC インスタンスのみ:すべてのインスタンスで一度に構成ジョブを実行できます。たとえば、ADC 1、ADC 2、ADC 3 があって、それらすべてがCVE-2021-22956の影響を受けるだけだとします。 これらのインスタンスをすべて選択して [設定ジョブのワークフローに進む] をクリックすると、組み込みの設定テンプレートが[設定の選択]に自動入力されます。 リリースノートの既知の問題であるNSADM-80913を参照してください。
-
CVE-2021-22956 およびその他の 1 つ以上の CVE(CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 など)の影響を受ける複数の ADC インスタンスで、各 ADC に修正を一度に適用する必要がある場合: これらのインスタンスを選択して [設定ジョブのワークフローに進む] をクリックすると、エラーが表示されます各 ADC で一度に構成ジョブを実行するように指示するメッセージが表示されます。
ステップ 1: 構成を選択する
設定ジョブのワークフローでは、組み込みの構成テンプレートが [構成の選択]に自動入力されます。
影響を受けるADCインスタンスごとに個別の構成ジョブを1つずつ実行し、そのADCのすべてのSAMLアクションとSAMLプロファイルを含めます。たとえば、脆弱な ADC インスタンスが 2 つあり、それぞれに 2 つの SAML アクションと 2 つの SAML プロファイルがある場合、この設定ジョブを 2 回実行する必要があります。ADC ごとに 1 回、すべての SAML アクションと SAML プロファイルをカバーします。
| ADC 1 | ADC2 |
|---|---|
| ジョブ 1:2 つの SAML アクション +2 つの SAML プロファイル | ジョブ 2:2 つの SAML アクション +2 つの SAML プロファイル |
ジョブに名前を付け、次の仕様に合わせてテンプレートをカスタマイズします。組み込みの構成テンプレートは、単なるアウトラインまたは基本テンプレートです。次の要件に合わせて、デプロイメントに基づいてテンプレートをカスタマイズします。
a.SAML アクションとそれに関連するドメイン
導入環境内の SAML アクションの数に応じて、1 ~ 3 行目を複製し、各 SAML アクションのドメインをカスタマイズする必要があります。
たとえば、2 つの SAML アクションがある場合、1 ~ 3 行目を 2 回繰り返し、それに応じて各 SAML アクションの変数定義をカスタマイズします。
また、SAML アクションに N 個のドメインがある場合は、 bind patset $saml_action_patset$ “$saml_action_domain1$” その行を複数回手動で入力して、その SAML アクションに対して行が N 回表示されるようにする必要があります。そして、次の変数定義名を変更してください。
-
saml_action_patset: は設定テンプレート変数で、SAML アクションのパターンセット (patset) の名前の値を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。 -
saml_action_domain1: は設定テンプレート変数で、その特定の SAML アクションのドメイン名を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」セクションを参照してください。
デバイスのすべての SAML アクションを検索するには、コマンドshow samlactionを実行します。
b. SAML プロファイルとそれに関連する URL
導入環境内の SAML プロファイルの数に応じて、4 ~ 6 行目を繰り返します。各 SAML プロファイルの URL をカスタマイズします。
たとえば、SAML プロファイルが 2 つある場合は、4 行目から 6 行目を 2 回手動で入力し、それに応じて SAML アクションごとに変数定義をカスタマイズします。
また、SAML アクションに N 個のドメインがある場合は、 bind patset $saml_profile_patset$ “$saml_profile_url1$” その行を手動で複数回入力して、その SAML プロファイルでその行が N 回表示されるようにする必要があります。そして、次の変数定義名を変更してください。
-
saml_profile_patset: は設定テンプレート変数で、SAML プロファイルのパターンセット (patset) の名前の値を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」のセクションを参照してください。 -
saml_profile_url1: は設定テンプレート変数で、その特定の SAML プロファイルのドメイン名を表します。実際の値は、設定ジョブワークフローのステップ 3 で指定できます。このドキュメントの「ステップ 3: 変数値を指定する」のセクションを参照してください。
デバイスのすべての SAM プロファイルを検索するには、コマンドshow samlidpProfileを実行します。
ステップ 2: インスタンスを選択する
影響を受けるインスタンスは [インスタンスの選択]に自動的に入力されます。インスタンスを選択して [ 次へ] をクリックします。
ステップ 3: 変数値を指定する
変数値を入力します。
-
saml_action_patset: SAML アクションの名前を追加 -
saml_action_domain1: ドメインを次の形式で入力しますhttps://<example1.com>/ -
saml_action_name: ジョブを設定している SAML アクションと同じものを入力します -
saml_profile_patset: SAML プロファイルの名前を追加します -
saml_profile_url1: URL を入力してくださいこの形式ですかhttps://<example2.com>/cgi/samlauth -
saml_profile_name: ジョブを設定している SAML プロファイルと同じものを入力します
注
URL の場合、拡張子は必ずしもそうとは限りません
cgi/samlauth。それはあなたが持っている第三者の認証によって異なりますので、それに応じて拡張機能を追加する必要があります。
ステップ 4: 構成をプレビューする
設定に挿入された変数値をプレビューし、[ 次へ] をクリックします。
ステップ 5: ジョブを実行する
「 完了 」をクリックして構成ジョブを実行します。
ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。
すべての脆弱なADCに対して2つの修復手順を完了したら、オンデマンドスキャンを実行して修正されたセキュリティ体制を確認できます。
Citrix ADM Express アカウントに関する注意点
Citrix ADM Expressアカウントには、2つの構成ジョブのみの制限など、限られた機能しかありません。Citrix ADM Expressアカウントの詳細については、「 Expressアカウントを使用してCitrix ADM リソースを管理する」を参照してください。 CVE-2020-8300 の修復では、脆弱な ADC インスタンスの数と同じ数の設定ジョブを実行する必要があります。そのため、Express アカウントをお持ちで、3 つ以上の構成ジョブを実行する必要がある場合は、次の回避策に従ってください。
回避策:脆弱な 2 つの ADC インスタンスに対して 2 つの構成ジョブを実行し、次に両方のジョブを削除して、次の 2 つの脆弱な ADC インスタンスに対して次の 2 つのジョブを引き続き実行します。脆弱なインスタンスをすべてカバーするまで、これを続けてください。ジョブを削除する前に、後で参照できるようにレポートをダウンロードできます。レポートをダウンロードするには、[ ネットワーク] > [ジョブ] でジョブを選択し、[ アクション ] の [ ダウンロード] をクリックします。
例:脆弱な ADC インスタンスが 6 つある場合は、2 つの脆弱なインスタンスでそれぞれ 2 つの設定ジョブを実行し、両方の設定ジョブを削除します。この手順をもう 2 回繰り返します。最後に、6 つの ADC インスタンスに対して 6 つの設定ジョブをそれぞれ実行することになります。Citrix ADM UIの[ インフラストラクチャ]>[ジョブ]には、最後の2つの構成ジョブのみが表示されます。
シナリオ
このシナリオでは、3 つの ADC インスタンスが CVE-2020-8300 に対して脆弱であるため、すべてのインスタンスを修正する必要があります。次の手順を実行します:
-
このドキュメントの「インスタンスのアップグレード」セクションに記載されている手順に従って、3 つの ADC インスタンスをすべてアップグレードします 。
-
コンフィグレーション・ジョブのワークフローを使用して、コンフィグレーション・パッチをADCに1つずつ適用します。このドキュメントの「 設定コマンドの適用 」セクションに記載されている手順を参照してください。
脆弱性のある ADC 1 の構成は次のとおりです。
| 2 つの SAML アクション | 2 つの SAML プロファイル |
|---|---|
| SAML アクション 1 には 1 つのドメインがあり、SAML アクション 2 には 2 つのドメインがあります | SAML プロファイル 1 には 1 つの URL があり、SAML プロファイル 2 には 2 つの URL があります |
ADC 1 を選択し、「 設定ジョブのワークフローに進む」をクリックします。組み込みテンプレートは自動入力されます。次に、ジョブ名を指定し、指定された構成に従ってテンプレートをカスタマイズします。
次の表は、カスタマイズされたパラメータの変数定義を示しています。
表1. SAML アクションの変数定義
| ADC 構成 | patset の変数定義 | SAML アクション名の変数定義 | ドメインの変数定義 |
|---|---|---|---|
| SAML アクション 1 には 1 つのドメインがあります | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| SAML アクション 2 には 2 つのドメインがあります | saml_action_patset2 | saml_action_name2 | saml_action_domain2, saml_action_domain3 |
表2. SAML プロファイルの変数定義
| ADC 構成 | patset の変数定義 | SAML プロファイル名の変数定義 | URL の変数定義 |
|---|---|---|---|
| SAML プロファイル 1 には 1 つの URL があります | saml_profile_patset1 | saml_profile_name1 | saml_profile_url1 |
| SAML プロファイル 2 には 2 つの URL があります | saml_profile_patset2 | saml_profile_name2 | saml_profile_url2, saml_profile_url3 |
[インスタンスを選択]で [ADC 1] を選択し、[ 次へ] をクリックします。 [変数値の指定 ] ウィンドウが表示されます。このステップでは、前のステップで定義したすべての変数の値を指定する必要があります。
次に、変数を確認します。
[ 次へ ] をクリックし、[ 完了 ] をクリックしてジョブを実行します。
ジョブが実行されると、[ インフラストラクチャ] > [構成] > [構成ジョブ]に表示されます。
ADC1の2つの修復手順を完了したら、同じ手順に従ってADC 2とADC 3を修正します。修正が完了したら、オンデマンドスキャンを実行して、修正されたセキュリティ体制を確認できます。
トレーニングビデオ
詳細については、次のトレーニングビデオをご覧ください。