修复CVE-2021-22927和CVE-2021-22920漏洞
在Citrix应用程序交付和管理安全咨询仪表板中,在当前cve ><数>ADC实例受到cve的影响,您可以看到由于CVE-2021-22927和CVE-2021-22920而易受攻击的所有实例。选中一个或多个cve,单击,可以查看受这两个cve影响的实例的详细信息查看受影响的实例.
请注意
安全咨询系统扫描可能需要几个小时才能完成并反映CVE-2021-22927和CVE-2021-22920在安全咨询模块中的影响。要更快地看到影响,请通过单击启动按需扫描Scan-Now.有关安全咨询指示板的详细信息,请参见:安全咨询.
的<数>受cve影响的ADC实例窗口出现。在下面的屏幕截图中,您可以看到受CVE-2021-22927和CVE-2021-22920影响的ADC实例的数量和详细信息。
修复CVE-2021-22927和CVE-2021-22920
对于CVE-2021-22927和CVE-2021-22920受影响的ADC实例,修复是一个两步过程。在GUI中,在当前cve > ADC实例受cve影响,可以看到步骤1和步骤2。
这两个步骤包括:
- 将易受攻击的ADC实例升级到具有修复程序的版本和构建。
- 在配置作业中使用可定制的内置配置模板应用所需的配置命令。对每个易受攻击的ADC执行此步骤,并包含该ADC的所有SAML操作。
请注意
如果您已经在ADC实例上运行了配置作业,请跳过步骤2cve - 2020 - 8300.
下当前cve >受cve影响的ADC实例,您将看到这个两步补救过程的两个单独的工作流继续升级工作流程和进入配置作业工作流.
步骤1:升级易受攻击的ADC实例
如果需要升级脆弱实例,请选中需要升级的实例,单击继续升级工作流程.升级工作流打开时,易受攻击的ADC实例已经被填充。
有关如何使用Citrix应用程序交付和管理来升级ADC实例的详细信息,请参见创建ADC升级作业.
请注意
对于所有易受攻击的ADC实例,可以立即执行此步骤。请注意
在对所有易受CVE-2021-22920和CVE-2021-22927攻击的ADC实例完成第1步后,执行按需扫描。更新的安全态势下当前cf帮助您了解ADC实例是否仍然容易受到这些cve的攻击。在新的状态下,您还可以检查是否需要运行配置作业。如果您已经将适当的配置作业应用于CVE-2020-8300的ADC实例,并且现在您已经升级了ADC实例,则在执行按需扫描后,该实例不再显示为CVE-2020-8300, CVE-2021-22920和CVE-2021-22927的易受攻击。
步骤2:应用配置命令
在升级受影响的实例之后,在<数>受cve影响的ADC实例窗口,选择一个受CVE-2021-22927和CVE-2021-22920影响的实例,单击进入配置作业工作流.工作流包括以下步骤。
- 自定义配置。
- 查看自动填充的受影响实例。
- 指定作业变量的输入。
- 查看填充了变量输入的最终配置。
- 运行作业。
在选择实例并单击之前,请记住以下几点进入配置作业工作流:
对于受多个cve影响的ADC实例(如CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956):选中实例后单击进入配置作业工作流时,内置配置模板不会在“选择配置”下自动填充。将适当的配置作业模板拖放到安全咨询模板手动到右侧的配置作业窗格。
对于仅受CVE-2021-22956影响的多个ADC实例:您可以一次在所有实例上运行配置作业。例如,你有ADC 1、ADC 2和ADC 3,它们都只受到CVE-2021-22956的影响。选择所有这些实例并单击进入配置作业工作流,内置配置模板自动填充选择配置.中的已知问题NSADM-80913发布说明.
对于受CVE-2021-22956和一个或多个其他cve(如CVE-2020-8300, CVE-2021-22927和CVE-2021-22920)影响的多个ADC实例,需要一次对每个ADC应用修复:当您选择这些实例并单击时进入配置作业工作流时,将出现一条错误消息,告诉您一次在每个ADC上运行配置作业。
步骤1:选择configuration
在配置作业工作流中,内置配置基模板将自动填充到选择配置.
请注意
如果步骤2中选择的应用配置命令的ADC实例存在CVE-2021-22927、CVE-2021-22920和CVE-2020-8300漏洞,则自动填充CVE-2020-8300的基本模板。CVE-2020-8300模板是三个cve所需的配置命令的超级集。根据您的ADC实例部署和需求定制此基本模板。
您必须为每个受影响的ADC实例运行单独的配置作业,每次一个,并包含该ADC的所有SAML操作。例如,如果您有两个易受攻击的ADC实例,每个实例都有两个SAML操作,则必须运行此配置作业两次。每个ADC覆盖其所有SAML动作一次。
| ADC 1 | ADC2 |
|---|---|
| 工作1:两个SAML操作 | 任务2:两个SAML操作 |
为作业指定一个名称,并根据以下规范定制模板。内置配置模板只是一个轮廓或基本模板。根据部署情况定制模板,满足以下要求:
一个。SAML操作及其关联域
根据部署中SAML操作的数量,必须复制第1-3行,并为每个SAML操作定制域。
例如,如果您有两个SAML操作,请重复第1-3行两次,并相应地为每个SAML操作定制变量定义。
如果您有N个域用于SAML操作,则必须手动键入这一行绑定$saml_action_patset$ " $saml_action_domain1$ "以确保该行在该SAML操作中出现N次。并更改以下变量定义名称:
saml_action_patset:是配置模板变量,它表示SAML操作的模式集(patset)的名称的值。您可以在配置作业工作流的步骤3中指定实际值。请参阅步骤3:在本文档中指定变量值。saml_action_domain1:是配置模板变量,它表示特定SAML操作的域名。您可以在配置作业工作流的第3步中指定实际值。请参阅步骤3:在本文档中指定变量值。
要查找设备的所有SAML操作,请运行该命令显示samlaction.
步骤2:选择实例
受影响的实例在下面自动填充选择实例.选择实例并单击下一个.
步骤3:指定变量值
输入变量值。
saml_action_patset为SAML动作添加一个名称saml_action_domain1:输入域名,格式为https:// < example1.com > /saml_action_name:输入与要配置作业的SAML操作相同的操作
步骤4:预览配置
预览已插入到配置中的变量值,单击下一个.
步骤5:运行作业
点击完成运行配置作业。
作业运行后,它将显示在“基础设施>配置>配置作业”.
在完成所有易受攻击adc的两个修复步骤后,您可以运行按需扫描以查看修改后的安全状态。
场景
在此场景中,两个ADC实例容易受到CVE-2021-22920的攻击,您需要修复所有实例。遵循以下步骤:
按照本文档“升级实例”一节给出的步骤升级所有三个ADC实例。
使用配置作业工作流,一次对一个ADC应用配置补丁。请参见本文档“应用配置命令”一节给出的步骤。
易受攻击的ADC 1有两个SAML动作:
- SAML动作1有一个域
- SAML动作2有两个域
选中“ADC 1”,单击进入配置作业工作流.内置的基本模板会自动填充。接下来,给出一个作业名称,并根据给定的配置自定义模板。
下表列出了自定义参数的变量定义。
表格SAML操作的变量定义
| ADC配置 | patset的变量定义 | SAML动作名称的变量定义 | 域的变量定义 |
|---|---|---|---|
| SAML动作1有一个域 | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| SAML动作2有两个域 | saml_action_patset2 | saml_action_name2 | saml_action_domain2, saml_action_domain3 |
下选择实例,选中“ADC 1”,单击下一个.的指定变量值窗口出现。在这一步中,您需要为前一步中定义的所有变量提供值。
接下来,查看变量。
点击下一个然后点击完成来运行作业。
作业运行后,它将显示在“基础设施>配置>配置作业”.
完成ADC1的两个修复步骤后,按照相同的步骤修复ADC 2和ADC 3。修复完成后,您可以运行按需扫描以查看修改后的安全状态。