Cve-2021-22927とcve-2021-22920の脆弱性を修復します
Citrix ADMセキュリティアドバザリダッシュボザリダッシュボ[現在のcve] > [<数>ADCインスタンスはCVEの影響を受ける]でCVE - 2021 - 22927およびCVE - 2021 - 22920によって脆弱なすべてのインスタンスを確認できます。これら2つのCVEの影響を受けるインスタンスの詳細を確認するには,1つ以上のCVEを選択し,”影響を受ける邮箱ンスタンスを表示をクリックします。
注
セキュリティアドバイザリシステムのスキャンが終了し,cve - 2021 - 22927とcve - 2021 - 22920の影響をセキュリティアドバイザリモジュールに反映させるには,数時間かかる場合があります。影響をより早く確認するには,[Scan-Nowをクリックしてオンデマンドスキャンを開始します。セキュリティアドバザリダッシュボセキュリティアドバ邮箱ザリを参照してください。
<数>cveの影響を受けるadc adcンスタンスのウィンドウが表示されます。次の画面キャプチャでは,cve - 2021 - 22927とcve - 2021 - 22920の影響を受けるADCインスタンスの数と詳細を確認できます。
Cve-2021-22927とcve-2021-22920を修復してください
cve - 2021 - 22927およびcve - 2021 - 22920の影響を受けるADCインスタンスの場合,修正は2段階のプロセスです。guiの”現在のcve " > " adc adcンスタンスはcveの影響を受ける“で,手順1と2を確認できます。”
次の2のステップがあります。
- 脆弱なadc econfンスタンスを,修正されたリリドします。
- カスタマズ可能な組み込み構成テンプレトを使用して,必要な構成コマンドを構成ジョブに適用します。脆弱なADCごとにこの手順を1つずつ実行し,そのADCのすべてのSAMLアクションを含めてください。
注
cve - 2020 - 8300のADCインスタンスで設定ジョブをすでに実行している場合は,ステップ2をスキップしてください。
「当前CVES > CVEの影響を受けるADC ADCンスタンス“に,この2段階の修正プロセスに,”アップグレドワクフロに進む"と"設定ジョブワクフロに進むの2のワクフロが表示されます。
ステップ1:脆弱なadc管理员ンスタンスをアップグレドする
脆弱な邮箱ンスタンスをアップグレ邮箱ドするには,邮箱ンスタンスを選択し,[ワクフロのアップグレドに進むをクリックします。アップグレドワクフロは,脆弱なadc。
Citrix ADMを使用してADC ADCンスタンスをアップグレドする方法にいて詳しくは,”adcアップグレアップグレドジョブの作成を参照してください。
注
このステップは,脆弱なすべてのadc adcンスタンスに対して一度に行うことができます。注
cve - 2021 - 22920およびcve - 2021 - 22927に対して脆弱なすべてのADCインスタンスについてステップ1を完了したら,オンデマンドスキャンを実行します。当前CVEの最新のセキュリティ体制は, adc管理员ンスタンスがこれらのcveに対して依然として脆弱であるかどうかを理解するのに役立ます。新しい姿勢から,構成ジョブを実行する必要があるかどうかも確認できます。cve - 2020 - 8300のADCインスタンスに適切な設定ジョブを既に適用していて,ADCインスタンスをアップグレードした場合,オンデマンドスキャンを実行した後,インスタンスがcve - 2020 - 8300, cve - 2021 - 22920,およびcve - 2021 - 22927に対して脆弱であるとは表示されなくなります。
ステップ2:設定コマンドを適用する
影響を受ける邮箱ンスタンスをアップグレ邮箱ドしたら,<数> CVEの影響を受けるADCインスタンスウィンドウで,CVE - 2021 - 22927とCVE - 2021 - 22920の影響を受けるインスタンスを1つ選択し、「設定ジョブのワクフロに進むをクリックします。ワクフロには次のステップが含まれます。
- 構成をカスタマ邮箱ズします。
- 自動入力された影響を受ける邮箱ンスタンスを確認する。
- ジョブの変数への入力を指定する。
- 変数入力を入力して最終構成を確認します。
- ジョブを実行しています。
ンスタンスを選択して[設定ジョブのワクフロに進む]をクリックする前に,次の点に注意してください。
複数のCVE (CVE CVE - 2020 - 8300 - 2021 - 22927, CVE - 2021 - 22920, CVE - 2021 - 22956など)の影響を受けるADCインスタンスの場合:econンスタンスを選択して[設定ジョブのワをクリックしても,組み込みの設定テンプレトは[設定の選択]に自動入力されません。セキュリティアドバイザリテンプレートの下にある適切な設定ジョブテンプレートを右側の設定ジョブペインに手動でドラッグアンドドロップします。
cve - 2021 - 22956の影響を受ける複数のADCインスタンスのみ:すべてのインスタンスで一度に構成ジョブを実行できます。たとえば,ADC 1, ADC 2, ADC 3があって,それらすべてがcve - 2021 - 22956の影響を受けるだけだとします。これらの[設定ジョブのワ。をクリックすると,組み込みの設定テンプレトが[設定の選択]に自動入力されます。リリスノトの既知の問題であるnsadm-80913を参照してください。
CVE - 2021 - 22956およびその他の1つ以上のCVE (CVE CVE - 2020 - 8300 - 2021 - 22927, CVE - 2021 - 22920など)の影響を受ける複数のADCインスタンスで,各ADCに修正を一度に適用する必要がある場合:これらの[設定ジョブのワ。]をクリックすると,エラーが表示されます各ADCで一度に構成ジョブを実行するように指示するメッセージが表示されます。
ステップ1:構成を選択する
設定ジョブのワクフロでは,組み込みの構成ベステンプレトが[構成の選択]に自動的に入力されます。
注
ステップ2で設定コマンドを適用するために選択したADCインスタンスがcve - 2021 - 22927, cve - 2021 - 22920,およびcve - 2020 - 8300に対して脆弱である場合,cve - 2020 - 8300の基本テンプレートは自動的に入力されます。CVE - 2020 - 8300テンプレートは,3つのCVEすべてに必要な設定コマンドのスーパーセットです。Adc econf leンスタンスのデプロeconf leと要件に応じて,この基本テンプレeconf leトをカスタマeconf leズします。
影響を受けるADCインスタンスごとに個別の構成ジョブを1つずつ実行し,そのADCのすべてのSAMLアクションを含める必要があります。たとえば,脆弱なADCインスタンスが2つあり,それぞれに2つのSAMLアクションがある場合,この設定ジョブを2回実行する必要があります。Adcごとに1回,すべてのsamlアクションをカバします。
| ADC 1 | ADC2 |
|---|---|
| ジョブ1:2のsamlアクション | ジョブ2:2のsamlアクション |
ジョブに名前を付け,次の仕様に合わせてテンプレズします。組み込みの構成テンプレトは,単なるアウトラトです。次の要件に合わせて,デプロereplicationメントに基づいてテンプレ,トをカスタマereplicationズします。
一个。Samlアクションとそれに関連するドメン
導入環境内のSAMLアクションの数に応じて,1 ~ 3行目を複製し,各SAMLアクションのドメインをカスタマイズする必要があります。
たとえば2つのSAMLアクションがある場合,1 ~ 3行目を2回繰り返し,それに応じて各SAMLアクションの変数定義をカスタマイズします。
また,samlアクションにn個のドメンがある場合は,绑定$saml_action_patset$ " $saml_action_domain1$ "その行を複数回手動で入力して,そのSAMLアクションに対して行がN回表示されるようにする必要があります。そして,次の変数定義名を変更してください。
saml_action_patset:は設定テンプレート変数で,SAMLアクションのパターンセット(patset)の名前の値を表します。実際の値は,設定ジョブワクフロのステップ3で指定できます。このドキュメントの"ステップ3:変数値を指定する"セクションを参照してください。saml_action_domain1:は設定テンプレト変数で,その特定のsamlアクションのドメ。実際の値は,設定ジョブワクフロのステップ3で指定できます。このドキュメントの"ステップ3:変数値を指定する"セクションを参照してください。
デバスのすべてのsamlアクションを検索するには,コマンド显示samlactionを実行します。
ステップ2:ンスタンスを選択する
影響を受ける邮箱ンスタンスは[ンスタンスの選択]に自動的に入力されます。ンスタンスを選択して [次へをクリックします。
ステップ3:変数値を指定する
変数値を入力します。
saml_action_patset: samlアクションの名前を追加saml_action_domain1:ドメ邮箱ンを次の形式で入力しますhttps:// < example1.com > /saml_action_name:ジョブを設定しているsamlアクションと同じものを入力します
ステップ4:構成をプレビュする
設定に挿入された変数値をプレビュし,[次へをクリックします。
ステップ5:ジョブを実行する
「完了をクリックして構成ジョブを実行します。
ジョブが実行されると,[ンフラストラクチャ]>[構成]>[構成ジョブ]に表示されます。
すべての脆弱なADCに対して2つの修復手順を完了したら,オンデマンドスキャンを実行して修正されたセキュリティ体制を確認できます。
シナリオ
このシナリオでは2つのADCインスタンスがcve - 2021 - 22920に対して脆弱であるため,すべてのインスタンスを修正する必要があります。次の手順を実行します:
このドキュメントの”インスタンスのアップグレード”セクションに記載されている手順に従って,3つのADCインスタンスをすべてアップグレードします。
コンフィグレーション・ジョブのワークフローを使用して,コンフィグレーション・パッチをADCに1つずつ適用します。このドキュメントの"設定コマンドの適用"セクションに記載されている手順を参照してください。
脆弱なadc 1には2のsamlアクションがあります。
- Samlアクション1には1のドメ
- Samlアクション2には2のドメ
Adc 1を選択し,”設定ジョブのワクフロに進むをクリックします。ビルト邮箱ンの基本テンプレ邮箱トは自動的に入力されます。次に,ジョブ名を指定し,指定された構成に従ってテンプレ。
次の表は、カスタマ。
テブル。萨姆尔アクションの変数定義
| Adc構成 | Patsetの変数定義 | 萨姆尔アクション名の変数定義 | ドメ邮箱ンの変数定義 |
|---|---|---|---|
| Samlアクション1には1のドメ | saml_action_patset1 | saml_action_name1 | saml_action_domain1 |
| Samlアクション2には2のドメ | saml_action_patset2 | saml_action_name2 | saml_action_domain2, saml_action_domain3 |
[ンスタンスを選択]で[adc 1]を選択し,[次へをクリックします。[変数値の指定.ウィンドウが表示されます。このステップでは,前のステップで定義したすべての変数の値を指定する必要があります。
次に,変数を確認します。
[次へ]をクリックし,[完了をクリックしてジョブを実行します。
ジョブが実行されると,[ンフラストラクチャ]>[構成]>[構成ジョブ]に表示されます。
Adc1の2の修復手順を完了したら,同じ手順に従ってadc 2とadc 3を修正します。修正が完了したら,オンデマンドスキャンを実行して,修正されたセキュリティ体制を確認できます。