修复CVE-2020-8300漏洞
在Citrix ADM安全咨询仪表板下当前cf ><数>ADC实例受到cve的影响,您可以看到由于这个特定的CVE而受到攻击的所有实例。要查看CVE-2020-8300受影响实例的详细信息,请选择cve - 2020 - 8300然后单击查看受影响的实例.
笔记
有关安全建议仪表板的更多信息,请参见:安全咨询.
这个<数>受CVE影响的ADC实例窗口出现。这里您可以看到受CVE-2020-8300影响的ADC实例的数量和详细信息。
修正CVE-2020-8300
对于受cve -2020-8300影响的ADC实例,补救是一个两步过程。在GUI下当前cve > ADC实例受cve影响,您可以看到步骤1和2。
这两个步骤包括:
- 将易受攻击的ADC实例升级到具有修复程序的版本和构建版本。
- 在配置作业中使用可定制的内置配置模板应用所需的配置命令。对每个易受攻击的ADC依次执行此步骤,并包括该ADC的所有SAML操作和SAML配置文件。
在下面当前cve > ADC实例受cve影响,您将看到此两步修复过程的两个独立工作流:分别是继续升级工作流和继续配置作业工作流.
步骤1:升级易受攻击的ADC实例
要升级易受攻击的实例,请选择实例并单击继续升级工作流. 升级工作流将打开,其中已填充易受攻击的ADC实例。
有关如何使用ADM升级ADC实例的更多信息,请参阅创建ADC升级作业.
笔记
对于所有易受攻击的ADC实例,可以立即执行此步骤。
步骤2:应用配置命令
升级受影响的实例后,在<数量>受CVE影响的ADC实例窗口,选择一个受CVE-2020-8300影响的实例,单击继续配置作业工作流. 该工作流包括以下步骤。
- 自定义配置。
- 检查自动填充的受影响实例。
- 为作业的变量指定输入。
- 查看填充了变量输入的最终配置。
- 运行作业。
步骤1:选择配置
在配置作业工作流中,内置配置模板将在下自动填充选择配置.
为每个受影响的ADC实例运行单独的配置作业,每次一个,并包括该ADC的所有SAML操作和SAML配置文件。例如,如果您有两个易受攻击的ADC实例,每个实例都有两个SAML操作和两个SAML配置文件,则必须运行该配置作业两次。每个ADC一次覆盖其所有SAML操作和SAML配置文件。
| ADC 1 | ADC2 |
|---|---|
| 作业1:两个SAML操作+两个SAML概要 | 作业2:两个SAML操作+两个SAML配置文件 |
为作业指定一个名称,并为以下规范定制模板。内置配置模板只是一个大纲或基本模板。根据实际部署情况定制模板,满足如下需求:
一个。SAML操作及其相关域
根据部署中SAML操作的数量,必须复制第1-3行,并为每个SAML操作自定义域。
例如,如果您有两个SAML操作,那么重复第1-3行两次,并相应地为每个SAML操作定制变量定义。
如果SAML操作有N个域,则必须手动键入行绑定patset$ saml_action_patset$ " $saml_action_domain1$ "多次,以确保该SAML操作的行出现N次。并更改以下变量定义名称:
saml_action_patset是配置模板变量,它表示SAML操作的模式集(patset)的名称的值。您可以在配置作业工作流的第3步中指定实际值。请参见步骤3:在本文档中指定变量值。saml_action_domain1是配置模板变量,它表示特定SAML操作的域名。您可以在配置作业工作流的第3步中指定实际值。请参见步骤3:在本文档中指定变量值。
要查找设备的所有SAML操作,请运行该命令显示采样.
BSAML配置文件及其关联URL
根据部署中SAML概要文件的数量,复制第4-6行。为每个SAML配置文件定制url。
例如,如果您有两个SAML配置文件,请手动输入第4–6行两次,并相应地自定义每个SAML操作的变量定义。
如果SAML操作有N个域,则必须手动键入行绑定patset$ saml_profile_patset$ " $saml_profile_url1$ "多次,以确保该SAML配置文件的行显示N次。并更改以下变量定义名称:
saml_profile_patset是配置模板变量,它表示SAML概要文件的模式集(patset)名称的值。您可以在配置作业工作流的第3步中指定实际值。请参见步骤3:在本文档中指定变量值。saml_profile_url1:是配置模板变量,它表示特定SAML配置文件的域名。您可以在配置作业工作流的步骤3中指定实际值。请参阅本文档中的步骤3:指定变量值一节。
要查找设备的所有SAM配置文件,请运行以下命令显示samlidprofile.
步骤2:选择实例
受影响的实例在下自动填充选择实例. 选择实例并单击下一个.
步骤3:指定变量值
输入变量值。
saml_action_patset:为SAML操作添加一个名称saml_action_domain1:以以下格式输入域:https:/// saml_动作名称:输入与正在为其配置作业的SAML操作相同的命令saml_profile_patset:为SAML配置文件添加名称saml_profile_url1:输入此格式的URLhttps:// < example2.com > / cgi / samlauthsaml_profile_name:输入与正在为其配置作业的SAML配置文件相同的内容
笔记
对于URL,扩展并不总是有效的
cgi/samlauth. 这取决于您拥有什么样的第三方授权,因此您必须放置扩展。
步骤4:预览配置
预览已插入配置中的变量值,然后单击下一个.
步骤5:运行作业
点击完成运行配置作业。
作业运行后,它将显示在下基础结构>配置>配置作业.
对所有易受攻击的ADC完成两个补救步骤后,您可以运行按需扫描以查看修改后的安全态势。
ADM快递账户注意事项
ADM Express帐户具有有限的特性,其中仅包括两个配置作业的限制。要了解更多关于Citrix ADM Express账户的信息,请参见使用Express帐户管理Citrix ADM资源. 对于CVE-2020-8300修复,必须运行与易受攻击的ADC实例数量相同的配置作业。因此,如果您有一个Express帐户,并且需要运行两个以上的配置作业,请遵循此解决方法。
变通办法:为两个易受攻击的ADC实例运行两个配置作业,然后删除这两个作业以继续为下两个易受攻击的ADC实例运行下两个作业。继续此操作,直到覆盖了所有易受攻击的实例。在删除作业之前,您可以下载报告以供将来参考。要下载报告,请在网络>作业,选择作业并单击下载在下面行动.
实例:如果您有六个脆弱的ADC实例,请分别在两个脆弱实例上运行两个配置作业,然后删除两个配置作业。重复此步骤两次。最后,您将分别为6个ADC实例运行6个配置作业。在ADM UI下基础设施>工作,您只能看到最后两个配置作业。
脚本
在此场景中,三个ADC实例易受CVE-2020-8300攻击,您需要修复所有实例。遵循以下步骤:
按照本文档“升级实例”部分中给出的步骤升级所有三个ADC实例。
使用配置作业工作流,将配置修补程序一次应用于一个ADC。请参阅本文档“应用配置命令”部分中给出的步骤。
易受攻击的ADC 1具有以下配置:
| 两个SAML操作 | 两个SAML配置文件 |
|---|---|
| SAML操作1有一个域,SAML操作2有两个域 | SAML概要文件1有一个URL,SAML概要文件2有两个URL |
选择ADC 1,单击继续配置作业工作流.内置模板会自动填充。接下来,给出作业名称并根据给定的配置定制模板。
下表列出了自定义参数的变量定义。
表1。SAML动作的变量定义
| 模数转换器配置 | patset的变量定义 | SAML动作名的变量定义 | 域的变量定义 |
|---|---|---|---|
| SAML操作1有一个域 | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| SAML操作2有两个域 | saml_action_patset2 | saml_action_name2 | saml_action_domain2, saml_action_domain3 |
表2。SAML配置文件的变量定义
| 模数转换器配置 | patset的变量定义 | SAML配置文件名称的变量定义 | URL的变量定义 |
|---|---|---|---|
| SAML配置文件1有一个URL | saml_profile_patset1 | saml_profile_name1 | saml_profile_url1 |
| SAML概要文件2有两个URL | saml_profile_patset2 | saml_profile_name2 | saml_profile_url2,saml_profile_url3 |
在下面选择实例,选择ADC 1并单击下一个.这个指定变量的值窗口出现。在这一步中,您需要为上一步中定义的所有变量提供值。
接下来,回顾变量。
点击下一个然后单击完成运行作业。
作业运行后,它将显示在下基础结构>配置>配置作业.
完成ADC1的两个修正步骤后,按照相同的步骤修正ADC 2和ADC 3。修正完成后,您可以运行按需扫描以查看修改后的安全态势。
训练录像
请参阅以下培训视频以了解更多信息。