CVE-2021-22927和CVE-2021-22920的修复漏洞
在Citrix ADM安全咨询仪表板中目前的CVES><数>ADC实例受到cve的影响,您可以看到由于CVE-2021-22927和CVE-2021-22920而受到攻击的所有实例。要查看受这两个cve影响的实例的详细信息,请选择一个或多个cve并单击查看受影响的实例.
笔记
安全咨询系统扫描可能需要几个小时来总结和反映安全咨询模块中CVE-2021-22927和CVE-2021-22920的影响。为了更快地看到影响,通过点击开始按需扫描现在扫描.有关安全建议仪表板的更多信息,请参见:安全咨询.
这<数>ADC由CVES影响的实例窗口出现。在下面的屏幕截图中,您可以看到受CVE-2021-22927和CVE-2021-22920影响的ADC实例的计数和详细信息。
修复CVE-2021-22927和CVE-2021-22920
对于CVE-2021-22927和CVE-2021-22920受影响的ADC实例,修复是一个两步过程。在GUI下目前的CVES> ADC实例受CVES的影响,你可以看到步骤1和步骤2。
这两个步骤包括:
- 将弱势ADC实例升级到具有修复的释放和构建。
- 在配置作业中使用可定制的内置配置模板应用所需的配置命令。对每个易受攻击的ADC依次执行此步骤,并包括该ADC的所有SAML操作。
笔记
如果您已经在ADC实例上运行了配置作业,请跳过步骤2cve - 2020 - 8300.
在下面当前cve > ADC实例受cve影响,您将看到这个两步修复过程的两个独立工作流:它们是进行升级工作流程和继续配置作业工作流.
第1步:升级易受攻击的ADC实例
选择需要升级的实例,单击进行升级工作流程.升级工作流程将打开已填充的弱势ADC实例。
有关如何使用ADM升级ADC实例的更多信息,请参见创建ADC升级作业.
笔记
这一步骤可以立即为所有易受攻击的ADC实例完成。笔记
对于CVE-2021-22920和CVE-2021-22927容易受到攻击的所有ADC实例,完成第1步后,执行按需扫描。更新的安全态势当前cf帮助您了解ADC实例是否仍然容易受到这些cve的攻击。在新的姿态中,您还可以检查是否需要运行配置作业。如果您已经对CVE-2020-8300的ADC实例应用了适当的配置作业,并且现在您已经升级了ADC实例,在执行按需扫描之后,该实例将不再显示CVE-2020-8300、CVE-2021-22920和CVE-2021-22927存在漏洞。
步骤2:应用配置命令
升级了受影响的实例后,在<数> ADC由CVES影响的实例窗口,选择一个受CVE-2021-22927和CVE-2021-22920影响的实例,单击继续配置作业工作流.该工作流包括以下步骤。
- 自定义配置。
- 查看自动填充的受影响的实例。
- 指定作业变量的输入。
- 填充了具有变量输入的最终配置。
- 运行这份工作。
第1步:选择配置
在配置作业工作流程中,内置配置基本模板自动填充选择配置.
笔记
如果在步骤2中选择的ADC实例用于应用配置命令,则容易受到CVE-2021-22927,CVE-2021-22920和CVE-2020-8300的CVE-2020-8300,则为CVE-2020-8300的基础模板是自动填充的。CVE-2020-8300模板是所有三个CVE所需的超级配置命令。根据ADC实例部署和要求自定义此基本模板。
您必须一次为每个受影响的ADC实例运行单独的配置作业,其中一个ADC包含所有SAML操作。例如,如果您有两个易受攻击的ADC实例,每个缺陷的ADC实例具有两个SAML操作,则必须运行两次配置作业。每次ADC覆盖所有SAML行动。
| ADC 1 | ADC2. |
|---|---|
| 工作1:两个SAML行动 | 工作2:两个SAML行动 |
为作业命名并为以下规范自定义模板。内置配置模板只是大纲或基本模板。根据您的部署自定义模板,以获取以下要求:
一个。SAML操作及其相关域
根据部署中SAML操作的数量,必须复制第1-3行并为每个SAML操作定制域。
例如,如果您有两个SAML操作,那么重复第1-3行两次,并相应地为每个SAML操作定制变量定义。
如果SAML操作有N个域,则必须手动输入该行绑定patset $ saml_action_patset $“$ saml_action_domain1 $”多次以确保该行为该SAML动作出现n次。并更改以下变量定义名称:
saml_action_patets.:是配置模板变量,它表示SAML操作的模式集(Patset)的名称的值。您可以在Config作业工作流程的步骤3中指定实际值。请参阅第3步骤3:在此文档中指定变量值。saml_action_domain1.:配置模板变量是否为该特定SAML操作表示域名。您可以在步骤3中指定配置工作流程的实际值。请参阅第3步骤3:在此文档中指定变量值。
要查找设备的所有SAML操作,请运行命令显示Samlaction..
步骤2:选择实例
受影响的实例是自动填充的选择实例.选择实例并单击下一个.
第3步:指定变量值
输入变量值。
saml_action_patets.:为SAML操作添加名称saml_action_domain1.:以格式输入域https:/// saml_action_name.:输入同样的SAML操作,为您配置作业
第4步:预览配置
预览已插入配置中的变量值,然后单击下一个.
步骤5:运行作业
点击完成运行配置作业。
作业运行后,它会出现基础设施>配置>配置作业.
完成所有易受攻击ADC的两个修复步骤后,您可以按需扫描来查看修订后的安全姿势。
设想
在这种情况下,两个ADC实例容易受到CVE-2021-22920的攻击,并且您需要修复所有实例。按着这些次序:
按照本文档“升级实例”一节中给出的步骤升级所有三个ADC实例。
一次使用配置作业工作流程将配置补丁应用于一个ADC。请参阅本文档中“应用配置命令”部分中给出的步骤。
漏洞的ADC 1有两个SAML操作:
- SAML动作1有一个域
- SAML动作2有两个域
选择ADC 1,单击继续配置作业工作流.内置的基本模板会自动填充。接下来,给出作业名称并根据给定的配置定制模板。
下表列出了自定义参数的变量定义。
桌子。SAML操作的变量定义
| ADC配置 | Patset的可变定义 | SAML操作名称的变量定义 | 域变量定义 |
|---|---|---|---|
| SAML动作1有一个域 | saml_action_patset1 | saml_action_name1. | saml_action_domain1. |
| SAML动作2有两个域 | saml_action_patset2 | saml_action_name2. | saml_action_domain2, saml_action_domain3 |
在下面选择实例,选择ADC 1并单击下一个.这指定变量的值窗口出现。在这一步中,您需要为上一步中定义的所有变量提供值。
接下来,回顾变量。
点击下一个然后点击完成运行这份工作。
作业运行后,它会出现基础设施>配置>配置作业.
在完成ADC1的两个补救步骤之后,按照相同的步骤来补救ADC 2和ADC 3。修复完成后,您可以运行按需扫描以查看修改后的安全姿态。