哈嘍大家好,歡迎來到虛擬化時代君(XNHCYL),收不到通知請將我點選星標!“ 大家好,我是虛擬化時代君,一位潛心於網際網路的技術宅男。這裡每天為你分享各種你感興趣的技術、教程、軟體、資源、福利…(每天更新不間斷,福利不見不散)
引言
漏洞影響版本範圍
CVE-2024-8534漏洞
1、定義:屬於記憶體安全漏洞,成功利用該漏洞可導致記憶體損壞和拒絕服務。
2、先決條件:
-
ADC 必須配置為閘道器 (VPN vServer),並且必須啟用 RDP 功能
-
必須將 ADC 配置為閘道器 (VPN vServer),並且需要建立 RDP 代理伺服器配置檔案並將其設定為閘道器 (VPN vServer)
-
ADC 必須配置為啟用了 RDP 功能的身份驗證伺服器(AAA 虛擬伺服器)
3、漏洞評分:洞的 CVSS 評分為 8.4。
4、漏洞修復建議:透過檢查 ns.conf 檔案中的指定字串,您可以確定是否將 ADC 配置為閘道器(VPN 虛擬伺服器或 AAA 虛擬伺服器),並啟用了 RDP 功能或建立了 RDP 代理伺服器配置檔案:
-
啟用了 RDP 功能的閘道器 (VPN Vserver):
enable ns feature.*rdpproxyadd vpn vserver
-
已建立 RDP 代理伺服器配置檔案並將其設定為閘道器 (VPN vserver) 的閘道器 (VPN vserver):
add rdp serverprofileadd vpn vserver
-
啟用了 RDP 功能的身份驗證伺服器(AAA 虛擬伺服器):
enable ns feature.*rdpproxyadd authentication vserver
此漏洞沒有可用的緩解措施,因此,如果您使用的是受影響的版本,我們強烈建議您立即安裝推薦的版本。
CVE-2024-8534漏洞
1、定義:此漏洞是由於爭用條件導致經過身份驗證的使用者獲得意外的使用者功能而引起的。
2、先決條件:
-
ADC 必須配置為閘道器(SSL VPN、ICA 代理、CVPN 或 RDP 代理),並使用 KCDAccount 配置,以便 Kerberos SSO 訪問後端資源。
-
ADC 必須配置為具有 KCDAccount 配置的身份驗證伺服器(AAA 虛擬伺服器),以便 Kerberos SSO 訪問後端資源。
3、漏洞評分:洞的 CVSS 評分為 5.8。
4、漏洞修復建議:透過檢查 ns.conf 檔案中的以下字串來確定您是否具有問題。
-
KCDAccount 配置的閘道器(SSL VPN、ICA 代理、CVPN、RDP 代理),用於 Kerberos SSO 訪問後端資源:
add aaa kcdaccount
-
具有 KCDAccount 配置的 Auth 伺服器(AAA Vserver),用於 Kerberos SSO 訪問後端資源
add aaa kcdaccount
此漏洞沒有可用的緩解措施,因此,如果您使用的是受影響的版本,我們強烈建議您立即安裝推薦的版本。
此外,升級到固定版本後,如果裝置已配置為 HA 或群集模式,則必須修改裝置配置,以確保從系統記憶體中重新整理之前建立的所有會話。執行此操作的 shell 命令:
nsapimgr_wr.sh -ys call=ns_aaa_flush_kerberos_tickets
如果 NetScaler ADC 已在 HA 模式下配置,則必須在 HA 模式下執行提供的 shell 命令:首先在主節點上執行,然後在輔助節點上執行。
安全版本
升級方法
【以上內容均屬虛擬化時代君整理,大家僅供參考!】
往期回顧
如果您覺得文章不錯可以檢視以前的文章
全網獨家Citrix Netscaler透過EPA+PIV認證登入Citrix雲桌面
資源申明:小編更新資源文章只是為了給大家提供一個綠色學習的平臺,如果你在本站看到的任何圖片文字有涉及到你的利益以及版權都可以聯絡小編刪除。