修复 CVE-2020-8300 的漏洞
在 Citrix ADM 安全通告控制板中,在“当前 CVE”>“ <number of>ADC 实例受到 CVE 影响”下,您可以看到由于此特定 CVE 而存在漏洞的所有实例。要查看受 CVE-2020-8300 影响的实例的详细信息,请选择 CVE-2020-8300 ,然后单击“查看受影响实例”。
注意
有关安全通告控制板的更多信息,请参阅 安全通告。
将出现<number of>受 CVE 影响的 ADC 实例窗口。在这里,您可以看到受 CVE-2020-8300 影响的 ADC 实例的数量和详细信息。
修复 CVE-2020-8300
对于受 CVE-2020-8300 影响的 ADC 实例,修复过程分为两步。在 GUI 中,在“当前 CVE”>“ADC 实例受到 CVE 影响”下,您可以看到步骤 1 和 2。
这两个步骤包括:
- 将易受攻击的 ADC 实例升级到已修复的版本和版本。
- 在配置作业中使用可自定义的内置配置模板应用所需的配置命令。对每个易受攻击的 ADC 逐一执行此步骤,并包括该 ADC 的所有 SAML 操作和 SAML 配置文件。
在“当前 CVES”>“受 CVE 影响的 ADC 实例”下,您将看到此两步修复过程的两个独立工作流: 继续升级工作流程 和 继续配置作业工作流程。
步骤 1:升级有漏洞的 ADC 实例
要升级有漏洞的实例,请选择实例,然后单击“继续”升级工作流程。升级工作流程将在已填充有漏洞的 ADC 实例时打开。
有关如何使用 Citrix ADM 升级 ADC 实例的更多信息,请参阅 创建 ADC 升级任务。
注意
对于所有易受攻击的 ADC 实例,可以一次性完成此步骤。
步骤 2:应用配置命令
升级受影响的实例后,在 <number of> 受 CVE 影响的 ADC 实例 窗口中,选择一个受 CVE-2020-8300 影响的实例,然后单击 继续配置作业工作流程。该工作流程包括以下步骤。
- 自定义配置。
- 查看自动填充的受影响实例。
- 为作业的变量指定输入。
- 查看填充变量输入的最终配置。
- 运行作业。
在选择实例并单击“继续配置作业工作流程”之前,请记住以下几点:
-
对于受多个 CVE(例如 CVE-2020-8300、CVE-2021-22927、CVE-2021-22920 和 CVE-2021-22956)影响的 ADC 实例:当您选择该实例并单击“继续配置作业工作流”时,内置配置模板不会在“选择配置”下自动填充。手动将安全公告模板下的相应配置作业模板拖放到右侧的配置作业窗格中。
-
对于仅受 CVE-2021-22956 影响的多个 ADC 实例:您可以同时在所有实例上运行配置任务。例如,您有 ADC 1、ADC 2 和 ADC 3,所有这些都只受到 CVE-2021-22956 的影响。选择所有这些实例,然后单击“继续配置作业工作流程”,内置配置模板将自动填充在“选择配置”下。请参阅 发行说明中的已知问题 NSADM-80913。
-
对于受 CVE-2021-22956 和一个或多个其他 CVE(例如 CVE-2020-8300、CVE-2021-22927 和 CVE-2021-22920)影响的多个 ADC 实例,这些实例需要同时对每个 ADC 进行修复:当您选择这些实例并单击“继续配置作业工作流程”时,会出现错误出现一条消息,提示您一次在每个 ADC 上运行配置作业。
步骤 1:选择配置
在配置作业工作流中,内置配置模板会自动填充在“选择配置”下。
为每个受影响的 ADC 实例运行单独的配置作业,一次运行一个,并包括该 ADC 的所有 SAML 操作和 SAML 配置文件。例如,如果您有两个易受攻击的 ADC 实例,每个实例有两个 SAML 操作和两个 SAML 配置文件,则必须运行此配置作业两次。每个 ADC 一次,涵盖其所有 SAML 操作和 SAML 配置文件。
| ADC 1 | ADC2 |
|---|---|
| 任务 1:两个 SAML 操作 + 两个 SAML 配置文件 | 任务 2:两个 SAML 操作 + 两个 SAML 配置文件 |
为作业命名并根据以下规范自定义模板。内置配置模板只是大纲或基础模板。根据您的部署自定义模板以满足以下要求:
a.SAML 操作及其关联域
根据您在部署中执行的 SAML 操作的数量,您必须复制第 1—3 行并为每个 SAML 操作自定义域。
例如,如果您有两个 SAML 操作,则重复第 1—3 行两次,然后相应地为每个 SAML 操作自定义变量定义。
而且,如果您有一个 SAML 操作有 N 个域,则必须手动多次键入行 bind patset $saml_action_patset$ “$saml_action_domain1$”,以确保该行在该 SAML 操作中出现 N 次。并更改以下变量定义名称:
-
saml_action_patset: 是配置模板变量,它表示 SAML 操作的模式集(patset)名称的值。您可以在配置作业工作流程的第 3 步中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。 -
saml_action_domain1: 是配置模板变量,它代表该特定 SAML 操作的域名。您可以在配置作业工作流程的步骤 3 中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。
要查找设备的所有 SAML 操作,请运行命令 show samlaction。
b. SAML 配置文件及其关联的 URL
根据您在部署中拥有的 SAML 配置文件数量,复制行 4—6。自定义每个 SAML 配置文件的 URL。
例如,如果您有两个 SAML 配置文件,请手动输入两行 4—6 行,然后相应地为每个 SAML 操作自定义变量定义。
而且,如果您有一个 SAML 操作有 N 个域,则必须手动 bind patset $saml_profile_patset$ “$saml_profile_url1$” 多次键入该行,以确保该行在该 SAML 配置文件中出现 N 次。并更改以下变量定义名称:
-
saml_profile_patset: 是配置模板变量,它表示 SAML 配置文件的模式集(patset)名称的值。您可以在配置作业工作流程的步骤 3 中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。 -
saml_profile_url1: 是配置模板变量,它代表该特定 SAML 配置文件的域名。您可以在配置作业工作流程的步骤 3 中指定实际值。请参阅本文档中的步骤 3:指定变量值部分。
要查找设备的所有 SAM 配置文件,请运行命令 show samlidpProfile。
步骤 2:选择实例
受影响的实例会在“选择实例”下自动填充。选择实例,然后单击“下一步”。
步骤 3:指定变量值
输入变量值。
-
saml_action_patset:为 SAML 操作添加一个名称 -
saml_action_domain1:按https://<example1.com>/格式输入域名 -
saml_action_name:输入与您为其配置作业的 SAML 操作相同的内容 -
saml_profile_patset: 为 SAML 配置文件添加一个名称 -
saml_profile_url1: 输入 URL 采用这种格式https://<example2.com>/cgi/samlauth -
saml_profile_name:输入与您为其配置作业的 SAML 配置文件相同的配置文件
注意
对于 URL,扩展名并不总是如此
cgi/samlauth。这取决于您拥有的第三方授权,因此您必须输入扩展名。
步骤 4:预览配置
预览配置中已插入的变量值,然后单击“下一步”。
步骤 5:运行作业
单击“完成”运行配置作业。
作业运行后,它会显示在 基础结构 > 配置 > 配置作业下。
完成所有易受攻击的 ADC 的两个修复步骤后,您可以运行按需扫描以查看修改后的安全状态。
Citrix ADM Express 帐户的注意事项
Citrix ADM Express 帐户的功能有限,其中仅包括两个配置作业的限制。要了解有关 Citrix ADM Express 帐户的更多信息,请参阅 使用 Express 帐户管理 Citrix ADM 资源。 要修复 CVE-2020-8300,您必须运行与易受攻击的 ADC 实例数量一样多的配置作业。因此,如果您有 Express 帐户并且需要运行两个以上的配置作业,请遵循此解决方法。
解决方法:为两个易受攻击的 ADC 实例运行两个配置作业,然后删除这两个作业,继续为接下来的两个易受攻击的 ADC 实例运行接下来的两个作业。继续执行此操作,直到覆盖完所有易受攻击的实例。在删除作业之前,您可以下载报告以备将来参考。要下载报告,请在“网络”>“作业”下选择作业,然后单击“操作”下的“下载”。
示例:如果您有六个易受攻击的 ADC 实例,请分别在两个易受攻击的实例上运行两个配置作业,然后删除这两个配置作业。再重复此步骤两次。最后,您将分别为六个 ADC 实例运行六个配置作业。在 Citrix ADM 用户界面的“基础结构”>“作业”下,您只能看到最后两个配置作业。
场景
在这种情况下,三个 ADC 实例易受 CVE-2020-8300 攻击,您需要修复所有实例。请按照以下步骤进行操作:
-
按照本文档升级实例部分中给出的步骤 升级所有三个 ADC 实例 。
-
使用配置作业工作流程,一次将配置补丁应用到一个 ADC。请参阅本文档“应用配置命令”部分中给出的步骤。
易受攻击的 ADC 1 具有以下配置:
| 两个 SAML 操作 | 两个 SAML 配置文件 |
|---|---|
| SAML 操作 1 有一个域,而 SAML 操作 2 有两个域 | SAML 配置文件 1 有一个 URL,而 SAML 配置文件 2 有两个 URL |
选择 ADC 1,然后单击“继续配置作业工作流程”。内置模板会自动填充。接下来,给出作业名称并根据给定的配置自定义模板。
下表列出了自定义参数的变量定义。
表 1. SAML 操作的变量定义
| ADC 配置 | patset 的变量定义 | SAML 操作名称的变量定义 | 域的变量定义 |
|---|---|---|---|
| SAML 操作 1 有一个域 | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| SAML 操作 2 有两个域 | saml_action_patset2 | saml_action_name2 | saml_action_domain2, saml_action_domain3 |
表 2. SAML 配置文件的变量定义
| ADC 配置 | patset 的变量定义 | SAML 配置文件名称的变量定义 | URL 的变量定义 |
|---|---|---|---|
| SAML 配置文件 1 有一个 URL | saml_profile_patset1 | saml_profile_name1 | saml_profile_url1 |
| SAML 配置文件 2 有两个 URL | saml_profile_patset2 | saml_profile_name2 | saml_profile_url2, saml_profile_url3 |
在“选择实例”下,选择 ADC 1,然后单击“下一步”。将出现“指定变量值”窗口。在此步骤中,您需要为上一步中定义的所有变量提供值。
接下来,查看变量。
单击“下一步”,然后单击“完成”以运行作业。
作业运行后,它会显示在 基础结构 > 配置 > 配置作业下。
完成 ADC1 的两个修复步骤后,按照相同的步骤修复 ADC 2 和 ADC 3。修复完成后,您可以运行按需扫描以查看修改后的安全状态。
培训视频
要了解更多信息,请观看以下培训视频。