CVE-2024-8534漏洞

1、定义：属于内存安全漏洞，成功利用该漏洞可导致内存损坏和拒绝服务。

2、先决条件：

• ADC 必须配置为网关 （VPN vServer），并且必须启用 RDP 功能

• 必须将 ADC 配置为网关 （VPN vServer），并且需要创建 RDP 代理服务器配置文件并将其设置为网关 （VPN vServer）

• ADC 必须配置为启用了 RDP 功能的身份验证服务器（AAA 虚拟服务器）

3、漏洞评分：洞的 CVSS 评分为 8.4。

4、漏洞修复建议：通过检查 ns.conf 文件中的指定字符串，您可以确定是否将 ADC 配置为网关（VPN 虚拟服务器或 AAA 虚拟服务器），并启用了 RDP 功能或创建了 RDP 代理服务器配置文件：

• 启用了 RDP 功能的网关 （VPN Vserver）：

enable ns feature.*rdpproxyadd vpn vserver

• 已创建 RDP 代理服务器配置文件并将其设置为网关 （VPN vserver） 的网关 （VPN vserver）：

add rdp serverprofileadd vpn vserver

• 启用了 RDP 功能的身份验证服务器（AAA 虚拟服务器）：

enable ns feature.*rdpproxyadd authentication vserver

此漏洞没有可用的缓解措施，因此，如果您使用的是受影响的版本，我们强烈建议您立即安装推荐的版本。

CVE-2024-8534漏洞

1、定义：此漏洞是由于争用条件导致经过身份验证的用户获得意外的用户功能而引起的。

2、先决条件：

• ADC 必须配置为网关（SSL VPN、ICA 代理、CVPN 或 RDP 代理），并使用 KCDAccount 配置，以便 Kerberos SSO 访问后端资源。

• ADC 必须配置为具有 KCDAccount 配置的身份验证服务器（AAA 虚拟服务器），以便 Kerberos SSO 访问后端资源。

3、漏洞评分：洞的 CVSS 评分为 5.8。

4、漏洞修复建议：通过检查 ns.conf 文件中的以下字符串来确定您是否具有问题。

•  KCDAccount 配置的网关（SSL VPN、ICA 代理、CVPN、RDP 代理），用于 Kerberos SSO 访问后端资源：

add aaa kcdaccount

• 具有 KCDAccount 配置的 Auth 服务器（AAA Vserver），用于 Kerberos SSO 访问后端资源    

add aaa kcdaccount

此漏洞没有可用的缓解措施，因此，如果您使用的是受影响的版本，我们强烈建议您立即安装推荐的版本。

    此外，升级到固定版本后，如果设备已配置为 HA 或群集模式，则必须修改设备配置，以确保从系统内存中刷新之前创建的所有会话。执行此操作的 shell 命令：

nsapimgr_wr.sh -ys call=ns_aaa_flush_kerberos_tickets

    如果 NetScaler ADC 已在 HA 模式下配置，则必须在 HA 模式下执行提供的 shell 命令：首先在主节点上执行，然后在辅助节点上执行。

【以上内容均属虚拟化时代君整理，大家仅供参考！】