欢迎来到公海710 NetScaler CVE-2023-3519 修复中的 3 个常见问题

在帮助我们的许多客户从 Netscaler ADC 和 Netscaler Gateway 版本 12.1（生命周期终止和易受攻击）升级后，我们发现了 3 个常见问题，并希望提供以下注意事项，以帮助那些仍在解决补救问题的客户。

(NetScaler CVE-2023-3519)

1。许可

 

我们发现，尝试自行执行此操作的客户遇到的最大问题是他们没有先更新许可证。重新启动后的升级会检查许可证文件中的 Subscription Advantage 日期。

• NetScaler 13.0 VPX
  2019 年 5 月 13 日之后需要文件
• NetScaler 13.1 VPX
  2021 年 8 月 23 日之后需要文件

较旧的许可证文件将不起作用。它不起作用的症状是缺少配置部分 - 特别是缺少 SSL 证书。您可以从 CLI 运行以下命令来验证正在使用哪个许可证以及启用了哪些功能：

显示 ns 许可证

如果您的许可证无效，您会注意到某些功能不再启用，例如 AAA。您还可以运行以下命令来检查日志中的条目：

外壳
cat /var/log/license.log

如果许可证无效，您将需要从 MyCitrix 门户颁发新许可证。

访问“如何分配和安装 Citrix NetScaler VPX 许可证”了解更多。

**2。 “错误：不是特权用户”

**

 

此错误是由于 13.0 版本 36.27 之后对全局设置进行了安全更改所致。 12.1 中默认授权策略设置为“允许”，而在最新版本 13.0 和 13.1 中则设置为“拒绝”。 这可以通过将新的授权策略绑定到您的虚拟服务器或 AAA 组来覆盖。

从 CLI：

添加授权政策 auth-pol_allow-all true ALLOW

3。 “Http/1.1 内部服务器错误 43531”

 

此错误是由会话政策中的经典表达式引起的，可以通过将会话政策替换为高级版本来修复。每个网关都需要执行此操作。 将您的经典接收器和网络表达式替换为以下内容。如果您现有的策略比这更复杂，您将需要使用 nspepi 对其进行转换。 

网页：

HTTP.REQ.HEADER("用户代理").CONTAINS("CitrixReceiver").NOT

接收器：

HTTP.REQ.HEADER("用户代理").CONTAINS("CitrixReceiver")

我们希望这些提示对那些仍在进行升级工作的人有所帮助。与往常一样，如果 Alchemy 可以采取任何措施来帮助解决 NetScaler CVE-2023-3519 威胁，请告诉我们。我们的 Citrix 工程师团队已经帮助许多组织成功升级。