修复CVE-2020-8300漏洞
在Citrix应用程序交付和管理安全咨询仪表板中当前cve ><数>ADC实例受到cve的影响,您可以看到由于这个特定的CVE而容易受到攻击的所有实例。如果要查看CVE-2020-8300受影响实例的详细信息,请选择cve - 2020 - 8300并点击查看受影响实例.
请注意
有关安全咨询仪表板的详细信息,请参阅,安全咨询.
的<数>受cve影响的ADC实例窗口出现。在这里您可以看到受CVE-2020-8300影响的ADC实例的计数和详细信息。
修复cve - 2020 - 8300
对于受cve -2020-8300影响的ADC实例,修复分为两步过程。在GUI中,在当前cve > ADC实例受cve影响,您可以看到步骤1和2。
这两步包括:
- 将易受攻击的ADC实例升级到具有修复的版本和构建。
- 在配置作业中使用可定制的内置配置模板应用所需的配置命令。每次对每个易受攻击的ADC执行此步骤,并包括该ADC的所有SAML动作和SAML配置文件。
下当前cve受cve影响的ADC实例为>,您将看到这个两步补救过程的两个单独的工作流程继续升级工作流程而且进入配置工作工作流.
步骤1:升级脆弱的ADC实例
如果需要升级易受攻击的实例,选中实例前的复选框,单击继续升级工作流程.升级工作流打开,易受攻击的ADC实例已经填充。
有关如何使用Citrix应用程序交付和管理升级ADC实例的详细信息,请参见创建ADC升级任务.
请注意
这一步可以针对所有易受攻击的ADC实例一次性完成。
步骤2:应用配置命令
升级了受影响的实例之后,在<数>个受cve影响的ADC实例窗口中,选择一个受CVE-2020-8300影响的实例,单击进入配置工作工作流.工作流包括以下步骤。
- 定制配置。
- 检查自动填充的受影响实例。
- 为作业的变量指定输入。
- 检查填充了变量输入的最终配置。
- 运行作业。
在选择实例并单击之前,请记住以下几点进入配置工作工作流:
对于受多个cve(如CVE-2020-8300、CVE-2021-22927、CVE-2021-22920、CVE-2021-22956)影响的ADC实例:选中实例后单击进入配置工作工作流时,内置配置模板不会在“选择配置”下自动填充。将适当的配置作业模板拖放到下面安全咨询模板手动切换到右侧的配置作业窗格。
对于仅受CVE-2021-22956影响的多个ADC实例:您可以一次在所有实例上运行配置作业。例如,您有ADC 1、ADC 2和ADC 3,所有这些都只受到CVE-2021-22956的影响。选择所有这些实例并单击进入配置工作工作流,内置配置模板自动填充选择配置.参考文档中的已知问题NSADM-80913发布说明.
对于受CVE-2021-22956影响的多个ADC实例以及一个或多个其他cve(如CVE-2020-8300、CVE-2021-22927和CVE-2021-22920),需要一次应用到每个ADC的修复:当您选择这些实例并单击时进入配置工作工作流,会出现一个错误消息,告诉您一次在每个ADC上运行配置作业。
步骤1:选择configuration
在配置作业工作流中,内置配置模板将自动填充选择配置.
为每个受影响的ADC实例运行单独的配置作业,一次一个,并包括该ADC的所有SAML操作和SAML配置文件。例如,如果您有两个易受攻击的ADC实例,每个实例都有两个SAML操作和两个SAML概要,那么您必须运行此配置作业两次。每个ADC一次,涵盖所有SAML操作和SAML配置文件。
| ADC 1 | ADC2 |
|---|---|
| 作业1:两个SAML操作+两个SAML概要 | 作业2:两个SAML操作+两个SAML概要 |
为作业指定名称,并为以下规范定制模板。内置配置模板只是一个大纲或基本模板。请根据实际情况定制模板,满足如下需求:
一个。SAML操作及其相关域
根据部署中SAML操作的数量,必须复制第1-3行并为每个SAML操作定制域。
例如,如果您有两个SAML操作,请重复行1-3两次,并相应地自定义每个SAML操作的变量定义。
如果SAML操作有N个域,则必须手动键入该行绑定patset$ saml_action_patset$ " $saml_action_domain1$ "多次,以确保该SAML操作的行出现N次。并更改以下变量定义名称:
saml_action_patset:是配置模板变量,它表示SAML动作的模式集(patset)的名称的值。您可以在配置作业工作流的第3步中指定实际值。请参阅步骤3:在此文档中指定变量值。saml_action_domain1:是配置模板变量,它表示特定SAML操作的域名。您可以在配置作业工作流的第3步中指定实际值。请参阅步骤3:在此文档中指定变量值。
要查找设备的所有SAML操作,使用此命令显示samlaction.
b。SAML概要文件及其关联的url
根据部署中SAML概要文件的数量,复制第4-6行。为每个SAML配置文件定制url。
例如,如果您有两个SAML概要文件,请手动输入第4-6行两次,并相应地为每个SAML操作自定义变量定义。
如果SAML操作有N个域,则必须手动键入该行绑定patset$ saml_profile_patset$ " $saml_profile_url1$ "多次,以确保这一行在SAML概要文件中出现N次。并更改以下变量定义名称:
saml_profile_patset:是配置模板变量,它表示SAML概要的模式集(patset)的名称的值。您可以在配置作业工作流的第3步中指定实际值。请参见步骤3:在本文档中指定变量值。saml_profile_url1:是配置模板变量,它表示特定SAML配置文件的域名。您可以在配置作业工作流的第3步中指定实际值。请参见步骤3:在本文档中指定变量值。
使用实例查找设备的所有SAM配置文件显示samlidpProfile.
步骤2:选择实例
在下面自动填充受影响的实例选择实例.选择实例并单击下一个.
步骤3:指定变量值
输入变量值。
saml_action_patset:为SAML动作添加一个名称saml_action_domain1:按如下格式输入域https:// < example1.com > /saml_action_name:输入与配置作业相同的SAML操作saml_profile_patset:为SAML配置文件添加名称saml_profile_url1:按此格式输入URLhttps:// < example2.com > / cgi / samlauthsaml_profile_name:输入与作业配置相同的SAML配置文件
请注意
对于url,扩展并不总是如此
cgi / samlauth.这取决于您拥有什么样的第三方授权,因此您必须将扩展名放在。
步骤4:预览配置
预览已插入到配置中的变量值,然后单击下一个.
步骤5:运行作业
点击完成运行配置任务。
作业运行后,它显示在下面基础设施>配置>配置任务.
在完成所有易受攻击adc的两个补救步骤后,您可以运行按需扫描以查看修改后的安全态势。
Citrix应用程序交付和管理快速帐户注意事项
Citrix应用程序交付和管理快速帐户具有有限的功能,其中仅包括两个配置作业的限制。要了解有关Citrix应用程序交付和管理快速帐户的更多信息,请参见使用Express帐户管理Citrix应用程序交付和管理资源.对于CVE-2020-8300补救,必须运行与易受攻击的ADC实例数量相同的配置作业。因此,如果您有一个Express帐户,并且需要运行两个以上的配置作业,请遵循此解决方案。
解决方案:为两个易受攻击的ADC实例运行两个配置任务,然后删除这两个任务,继续为下两个易受攻击的ADC实例运行下两个任务。继续这样做,直到覆盖了所有易受攻击的实例。在删除作业之前,您可以下载报告以供将来参考。下载报告,请按网络>个任务,选择任务,单击下载下行动.
例子:如果您有6个脆弱的ADC实例,请在两个脆弱的ADC实例上分别执行两个配置任务,然后删除这两个配置任务。重复此步骤两次。最后,您将分别为六个ADC实例运行六个配置作业。在Citrix应用程序交付和管理UI下基础设施>就业,您只能看到最后两个配置作业。
场景
在这种情况下,有三个ADC实例容易受到CVE-2020-8300的攻击,您需要修复所有实例。遵循以下步骤:
中给出的步骤升级所有三个ADC实例升级实例章节。
使用配置作业工作流,一次对一个ADC应用配置补丁。方法中给出的步骤应用配置命令章节。
易受攻击的ADC 1具有以下配置:
| 两个SAML操作 | 两个SAML概要 |
|---|---|
| SAML操作1有一个域,SAML操作2有两个域 | SAML概要1有一个URL, SAML概要2有两个URL |
选择ADC 1,单击进入配置工作工作流.内置模板自动填充。接下来,给出作业名称并根据给定的配置自定义模板。
下表列出了定制参数的变量定义。
表1。SAML操作的变量定义
| ADC配置 | patset的变量定义 | SAML动作名称的变量定义 | 域的变量定义 |
|---|---|---|---|
| SAML操作1有一个域 | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| SAML操作2有两个域 | saml_action_patset2 | saml_action_name2 | saml_action_domain2, saml_action_domain3 |
表2。SAML概要文件的变量定义
| ADC配置 | patset的变量定义 | SAML配置文件名称的变量定义 | URL的变量定义 |
|---|---|---|---|
| SAML概要1有一个URL | saml_profile_patset1 | saml_profile_name1 | saml_profile_url1 |
| SAML概要2有两个url | saml_profile_patset2 | saml_profile_name2 | saml_profile_url2, saml_profile_url3 |
下选择实例,选择ADC 1,单击下一个.的指定变量值窗口出现。在这一步中,您需要为前一步中定义的所有变量提供值。
接下来,回顾变量。
点击下一个然后点击完成运行作业。
作业运行后,它显示在下面基础设施>配置>配置任务.
在完成ADC1的两个修复步骤后,按照相同的步骤修复ADC 2和ADC 3。修复完成后,您可以运行按需扫描以查看修改后的安全状态。
培训视频
请看下面的培训视频了解更多。