识别和修复CVE-2021-22956漏洞
在Citrix ADM安全咨询仪表板中,在 下面当前cve > <数> ADC实例受到常见漏洞和暴露(CVE)的影响,您可以看到由于此特定CVE而易受攻击的所有实例。如需查看CVE-2021-22956受影响实例的详细信息,请选择 CVE-2021-22956 ,单击视图 影响实例.
的<数> 受cve影响的ADC实例 出现窗口。在这里您可以看到受CVE-2021-22956影响的ADC实例的数量和详细信息。
有关安全咨询指示板的详细信息,请参见:安全咨询.
请注意
安全咨询系统扫描可能需要一段时间才能得出结论并反映CVE-2021-22956在安全咨询模块中的影响。要更快地看到影响,请通过单击启动按需扫描Scan-Now.
识别CVE-2021-22956受影响的实例
CVE-2021-22956需要自定义扫描,其中ADM服务连接到被管理的ADC实例,将脚本推送到实例。该脚本在ADC实例上运行,并检查Apache配置文件(httpd . conf文件)和最大客户端连接数(maxclient)参数来确定实例是否易受攻击。脚本与ADM服务共享的信息是布尔值的漏洞状态(true或false)。该脚本还向ADM服务返回不同网络接口(例如具有管理访问权限的本地主机、NSIP和SNIP)的max_clients计数列表。您可以在CSV文件中看到该列表的详细报告,您可以从扫描日志选项卡安全咨询页面。
这个脚本在每次预定的按需扫描运行时运行。扫描完成后,脚本将从ADC实例中删除。
修复cve - 2021 - 22956
对于受CVE-2021-22956影响的ADC实例,补救是一个两步过程。在GUI中,在 下面当前cve > ADC实例受cve影响,可以看到步骤1和步骤2。
这两个步骤包括:
将易受攻击的ADC实例升级到具有修复程序的版本和构建。
在配置作业中使用可定制的内置配置模板应用所需的配置命令。
在 Current cve >受cve影响的ADC实例下,您可以看到此两步修复过程的两个独立工作流: Proceed to upgrade workflow 和 Proceed to configuration job workflow。
步骤1:升级易受攻击的ADC实例
如果需要升级脆弱实例,请选中需要升级的实例,单击继续升级工作流程.升级工作流打开时,易受攻击的ADC实例已经被填充。
有关如何使用Citrix ADM升级ADC实例的详细信息,请参见创建ADC升级作业.
请注意
对于所有易受攻击的ADC实例,可以立即执行此步骤。
步骤2:应用配置命令
在升级受影响的实例之后,在<数>受cve影响的ADC实例窗口中,选择受CVE-2021-2295影响的实例,单击进入配置作业工作流.工作流包括以下步骤。
- 自定义配置。
- 查看自动填充的受影响实例。
- 指定作业变量的输入。
- 查看填充了变量输入的最终配置。
- 运行作业。
在选择实例并单击之前,请记住以下几点进入配置作业工作流:
对于受多个cve影响的ADC实例(如CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956):选中实例后单击进入配置作业工作流时,内置配置模板不会在“选择配置”下自动填充。将适当的配置作业模板拖放到安全咨询模板手动到右侧的配置作业窗格。
对于仅受CVE-2021-22956影响的多个ADC实例:您可以一次在所有实例上运行配置作业。例如,你有ADC 1、ADC 2和ADC 3,它们都只受到CVE-2021-22956的影响。选择所有这些实例并单击进入配置作业工作流,内置配置模板自动填充选择配置.中的已知问题NSADM-80913发布说明.
对于受CVE-2021-22956和一个或多个其他cve(如CVE-2020-8300, CVE-2021-22927和CVE-2021-22920)影响的多个ADC实例,需要一次对每个ADC应用修复:当您选择这些实例并单击时进入配置作业工作流时,将出现一条错误消息,告诉您一次在每个ADC上运行配置作业。
步骤1:选择configuration
在配置作业工作流中,内置配置基模板将自动填充到选择配置.
步骤2:选择实例
受影响的实例在下面自动填充选择实例.选择实例。如果该实例属于HA pair,请选择在备用节点上执行.单击 下一个.
请注意
对于集群模式下的ADC实例,使用ADM安全咨询,ADM只支持在集群配置协调器(CCO)节点上运行配置作业。在非cco节点上分别执行命令。
rc.netscaler在所有HA和集群节点之间同步,使修复在每次重新启动后持久化。
步骤3:指定变量值
输入变量值。
选择以下选项之一为您的实例指定变量:
所有实例的公共变量值:输入通用的变量值max_client.
上传变量值的输入文件:点击下载输入密钥文件下载输入文件。在输入文件中,为变量输入值max_client,将文件上传到ADM服务器。中的已知问题NSADM-80913发布说明关于此选项的问题注意事项。
请注意
对于上面提到的两个选项,建议使用
max_client取值为30。你可以根据你的现值来设定这个值。方法中设置的max_client小于或等于max_client/etc/httpd.conf文件。您可以检查Apache HTTP Server配置文件中设置的当前值/etc/httpd.conf通过搜索字符串数,在ADC实例中
步骤4:预览配置
预览已插入到配置中的变量值,单击下一个.
步骤5:运行作业
点击完成运行配置作业。
作业运行后,它将显示在“基础设施>配置>配置作业”.
在完成所有易受攻击adc的两个修复步骤后,您可以运行按需扫描以查看修改后的安全状态。