Trend Micro Deep Security 9.6 Service Pack 1 Patch 1 公開のお知らせ:サポート情報 : トレンドマイクロ
(情報元のブックマーク数
Trend Micro Deep Security 9.6 Service Pack 1 Patch 1 リリース。
Trend Micro Deep Security 9.6 Service Pack 1 Patch 1 を下記日程にて公開いたします。
■ 公開開始日
2016 年 06 月 22 日 (木)
■ 追加機能/修正内容
付属の各 Readme ファイルをご覧ください。
■ 入手方法
本製品の各コンポーネントは最新版ダウンロードページの「統合サーバセキュリティ対策」カテゴリからダウンロードできます。
「最新版ダウンロードページ」
サポート情報 : トレンドマイクロ
複数のバグ修正と新機能らしい。
1.1 このリリースの概要
======================
Deep Security 9.6 Service Pack 1 Patch 1には、複数のバグ修正といくつかの新機
能が含まれています。
前回リリースされたDeep Security Managerバージョンからの主な変更点について
は、Deep Security管理者ガイド、またはDeep Security Managerのオンラインヘル
プに記載されている、新機能に関するセクションをご覧ください。
1.2 アップグレードに関する注意事項
==================================
- Deep Security Manager 9.6 Service Pack 1 Patch 1にアップグレードするには、
Deep Security 9.0 Service Pack 1 Patch 5以降、9.5 Service Pack 1 Patch 3以
降または9.6 Service Pack 1を実行している必要があります。
9.0より前のバージョンのDeep Security Agentを保護対象として実行している
環境でDeep Security Managerを9.6 Service Pack 1 Patch 1にアップグレードす
ると、アップグレードのインストール中に、該当するAgentとアップグレード後に
通信できなくなるという警告が表示されます。Deep Security Manager 9.6
Service Pack 1 Patch 1は、9.0 Service Pack 1 Patch 4以降、
9.5 Service Pack 1以降を使用したDeep Security AgentおよびDeep Security
Virtual Applianceのみサポートしています。
詳細については、「6. 既知の非互換性」を参照してください。
- Deep Security 9.6 Service Pack 1 Patch 1では、ESXi 4.1がサポートされませ
ん。Deep Security 9.6 Service Pack Patch 1をインストールするには、VMware
インフラストラクチャ (vCenter、vShield Manager、vShield Endpoint、および
vShield Endpointドライバ) をバージョン5.0以降にアップグレードする必要があ
ります。
また、VMwareのWebサイトで、ナレッジベースの記事などのVMware環境のアップ
グレードに関するドキュメントも確認してください。
http://kb.vmware.com/kb/2032756
http://kb.vmware.com/kb/2052329
- Deep Security 9.6 Service Pack 1 Patch 1では、協調的保護はサポートされま
せん。Deep Security Manager 9.6 Service Pack 1 Patch 1にアップグレードす
ると、Deep Security Virtual Appliance (DSVA) で保護されており、かつDeep
Security Agentがインストールされている仮想マシンでは、コンバインモードが
有効になります。コンバインモードでは、DSVA (Agentレスによる保護) によって
不正プログラム対策保護と変更監視が提供され、残りの機能はAgentから提供され
ます。
- Deep Security Managerをバージョン9.6 Service Pack 1 Patch 1にアップグレー
ドする前に、Deep Security ManagerとMS SQL Serverデータベースの間の通信が
暗号化されていないかどうかを確認してください。暗号化は初期設定では無効にな
っていますが、手動で設定されている可能性があります。
Deep Security Manager\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイ
ルで、次の行がないかどうかを確認します。
database.SqlServer.ssl=require
この行がある場合は、行を削除してDeep Security Managerサービスを再起動する
ことで暗号化を無効にしてから、アップグレードを実行してください。
アップグレードが完了したら、この行を再度追加します。暗号化を無効にしない
と、アップグレードが失敗することがあります。
- Deep Security 9.6 Service Pack 1 Patch 1では、バージョン9.6と同様、スケー
ラビリティと効率が向上しています。本Patchでは、下記のリンクに記載されてい
る手順でデータスキーマのアップグレードを実行する必要があります。本Patchへ
のアップグレードを行う前に、下記のリンクに記載されている手順を参照して、
データベーススキーマをアップグレードしてください。
http://esupport.trendmicro.com/solution/ja-JP/1112471.aspx
事前にデータベースのバックアップを取り、営業時間外にアップグレードを実
行してください。
Deep Security 9.6 Service Pack 1 のデータのバックアップをするには、
Deep Security 9.6のオンラインヘルプ、または管理者ガイドの「データベースの
バックアップと復元」を参照してください。
なお、アップグレード中もDeep Security AgentおよびDeep Security Virtual
Applianceでの保護は継続されます。
2. 修正される内容
=================
注意: 本Patchをインストール後に、本セクションに「手順」が含まれる場合には「手
順」を実行してください (インストールについては、「5. インストール/アン
インストール」を参照してください)。
2.1 新機能
==========
本Patchでは、次の新機能が提供されます。
本Patchで提供される内容について、下記の形式で記載いたします。
------------------------------------------------
機能: [社内管理用番号]
機能の内容
------------------------------------------------
機能1: [DSSEG-141]
Amazon Cloud Providerの [クラウドアカウントの追加] のプロバイダの地域に
「アジアパシフィック (ソウル)」が追加されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
機能2: [DSSEG-191]
Deep Security Managerインストーラに、ベースバージョンとしてDSRUバージョン
16-007.dsruが初期設定で追加されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
機能3: [DSSEG-162]
Deep Security Agentは、Deep Security Managerコンソールで [Agentセルフプロ
テクション] 設定が変更された場合 ([コンピュータ]→[設定]→[Agentセルフプロ
テクション]) 、またはコマンドラインユーティリティの「dsa_control」を使用
した場合、システムイベントで [Agentセルフプロテクションの有効化] または
[Agentセルフプロテクションの無効化] イベントをログに記録します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
機能4: [DSSEG-140]
以前のリリースでは、Deep Securityデータベースの接続文字列パスで、Oracle
DatabaseのLDAP構文がサポートされていませんでした。管理者がOracle Internet
Directory (OID) でOracleクラスタを使用する場合、Deep Security Managerでは
サポートされませんでした。本Patchでは、Deep Security Managerが1台の
Oracleサーバだけではなく、クラスタ環境に接続できるようになり、Deep
Security Managerで接続文字列としてLDAP構文を使用できます。
この機能を実装するには以下の手順を実行します。
1. Deep Security Managerのサービスを停止します。
2. 次の場所にある「dsm.properties」ファイルを開きます。
Windowsの場合:
C:\Program Files\Trend Micro\Deep Security Manager\webclient\webapps\ROOT\WEB-INF
Linuxの場合:
/opt/dsm/webclient/webapps/ROOT/WEB-INF
3. 「dsm.properties」ファイルの末尾に次の行を追加します。
database.Oracle.ldapEnable=1
database.Oracle.ldapSyntax=ldap://dbserver1.ds.com:389/DS,cn=dbserver1,dc=ds,dc=com
ldap://dbserver2.ds.com:389/DS,cn=dbserver2,dc=ds,dc=com
注意: 「dc=com」と「ldap://dbserver2.ds.com」の間はタブで区切ります。
4. 「dsm.properties」ファイルを保存します。
5. Deep Security Managerのサービスを開始します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
機能5: [DSSEG-132]
脆弱性対策の一環で、Deep Security Agentコードに次のステータスコードが追加
されました。
* 無効なTCPタイムスタンプ = 153
* TCP SYNパケット (データあり) = 154
* TCP Split Handshake = 155
本Patchの適用後は、これらのイベントを適切にログに記録できるようになりま
す。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
機能6: [DSSEG-135]
Deep Security ManagerがメンテナンスイベントをvCenterから受け取ってから10分
経過するとタイムアウトを起こし、vCenterのメンテナンスジョブが応答停止して
しまう問題がありました。
本Patchの適用後は、他のすべての仮想マシンがシャットダウン中またはvMotionに
移行中かどうかをDeep Security Managerが確認し、実行中のアクティビティがな
くなるまでスレッドが待機します。
2.2 本Patchで修正される既知の問題
=================================
本Patchでは、次の問題が修正されます。
本Patchで修正される内容について、下記の形式で記載いたします。
------------------------------------------------
問題: [社内管理用番号]
問題の内容
修正:
修正の内容
手順:
手順の内容
------------------------------------------------
問題1: [TT-338284/DSSEG-115]
Deep Security Managerを以前のバージョンからアップグレードする際、
[不正プログラム対策イベント] テーブルの [主要なウイルスの種類] 列の値が
NULLのままになることがありました。その結果、Deep Security Managerコンソー
ルに、値がNULLのすべての列が正常に表示されない問題がありました。
修正1:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題2: [TT337361/DSSEG-71]
Deep Security Virtual Applianceのアクティベーションプロセス中に
Deep Security Managerで「内部エラー」が発生することがありました。
修正2:
本Patchの適用後は、POSTコマンドの実行のタイムアウト値が実装され、この問題
が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題3: [TT335271/DSSEG-23]
予約タスクを有効化せずに作成し、後から [有効] を選択すると、予約タスクが今
すぐに実行されてしまう問題がありました。
修正3:
本Patchの適用後は、この動作が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題4:[DSSEG-88]
[Agentからのリモート有効化] によって開始されるイベントベースタスクで、
AWS EC2インスタンスタグに基づいてDeep Securityポリシーを割り当てると、
失敗する問題がありました。
修正4:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題5: [DSSEG-118]
予約タスクでセキュリティアップデートを実行する際に、Deep Security Manager
から一度に2つのアップデートコマンドが発行され、その内の1つのアップデート
が失敗する問題がありました。
修正5:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題6: [TT336697/DSSEG-136]
Deep Security ManagerとMicrosoft SQL Serverが正常に通信するために、
.vmoptionsファイルに以下のオプションが必要でした。
-Djsse.enableCBCProtection=false
しかし、このオプションを使用していると、Deep Security ManagerとMicrosoft
SQL Server間のBEAST脆弱性 (CVE-2011-3389) への対抗策が無効になる問題があり
ました。
修正6:
本HotFixの適用後は、jtdsドライバがアップグレードされ、上記オプションを使う
ことなく、Deep Security ManagerとMicrosoft SQL Serverが正常に通信できるよ
うになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題7: [TT340695/DSSEG-137]
ログメッセージファイルの日本語の記述が文字化けする問題がありました。
修正7:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題8: [TT335152/DSSEG-133]
vCenterに多くのフォルダやグループが作成されていると、「Applianceの配置」の
実行時に、「[名前] は空白にできません。」のエラーが出る問題がありました。
修正8:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題9: [DSSEG-125]
不正プログラム検索設定の [検索除外] で、無効なディレクトリエントリを含ん
でいるにも関わらず、設定の変更が保存できてしまう場合がありました。
修正9:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題10: [TT-342337/DSSEG-186]
vCenterがサポート対象のESXiバージョン (5.5.x、6.0.x) とサポート対象外の
ESXiバージョン (5.1.x、5.0.x、4.x....) の両方を管理している場合、NSX
ManagerがTrend Micro Deep Securityサービスの配信に失敗する問題がありまし
た。
修正10:
本Patchの適用後は、サポート対象外のESXiバージョンをTrend Micro Deep
Securityプロファイルに含むことがなくなり、NSX ManagerがTrend Micro Deep
Securityサービスを正常に配信できるようにします。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題11: [TT340846/DSSEG-143]
Active Directoryが空白の結果を返すことに起因して同期が行われ、Deep
Security Managerから、rootグループを含むすべてのコンピュータおよびグループ
が削除されます。ただし「Directory」オブジェクトは削除されないため、ユーザ
がそのオブジェクトを追加して戻そうとした場合、Deep Security Managerで
Active Directoryがすでに存在するというメッセージが表示される問題がありま
した。
修正11:
本Patchの適用後は、次の2点が変更され、問題が修正されます。
- rootグループの削除を防ぎます。
- Active Directoryが空白の結果を返す場合は同期を中止します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題12: [DSSEG-134]
ESXi5.5の環境下で、Deep Security Virtual Applianceに保護されているSQL
Server フェールオーバークラスターノードを有効化または無効化するときに、
ノードへの通信が遮断される問題がありました。
修正12:
本Patchの適用後は、この問題が修正されます。
注意:
この修正を有効にするには、ESXi 5.5U3b (ビルド番号3248547以上) にアップグ
レードし、次の手順を実行する必要があります。
ESXiで、次のファイルを変更します。
/etc/vmware/hostd/config.xml
「useVigorVim」キーをfalseに設定します。
次のコマンドを使用して、hostdサービスを再起動します。
/etc/init.d/hostd restart
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題13: [TT-340918/DSSEG-157]
ポリシーのルール設定を誤ると、ルール編集の失敗が発生することがあり、Deep
Security Managerにはこのエラー状態が表示されない問題がありました。
修正13:
本Patchの適用後は、新たなアラートが追加され、エラーイベントとエラー状態が
表示されるようになり、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題14: [TT338991/TT337978/DSSEG-173]
Deep Security 9.6 Patch 1で、Deep Security Managerが
configuration.propertiesファイルでTLSのバージョンを設定できる機能が実装さ
れましたが、TLSv1.2のみを使用して設定されているDeep Security Managerから
Deep Security Relayがソフトウェアパッケージをダウンロードできない問題があ
りました。
修正14:
本Patchの適用後は、この問題が修正されます。
注意:
Deep Security ManagerでTLS 1.2のみを使用する場合、Deep Security Managerと
NSXとの通信が切断される問題がありました。これは、NSXがポート4119でDeep
Security Managerとの接続を回復する場合、ポート4119ではTLS 1.0のみしか使用
できないためです。
これは、現在のNSX Managerの制限事項となります。
同様に、非NSX環境でDeep Security Filter Driverが配置されている場合、TLS
1.2が正常に動作するには、ESXi 5.5以上のバージョンが必要となります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題15: [DSSEG-179]
AgentEntityIDの値が32ビットの整数の最大値を超える場合、AgentEntityIDが
オーバーフローするため、Deep Security Managerが変更監視イベントを取得でき
ず、無限ループに入る問題がありました。
修正15:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題16: [DSSEG-185]
AWSインスタンスで Deep Security Agentの [Agentからのリモート有効化] を使用
してポリシーを割り当てると、競合が発生する場合があり、これに起因して
Deep Security Managerコンソールでホスト名が重複する問題がありました。
修正16:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題17: [TT340939/DSSEG-187]
管理者がDeep Security Managerのユーザを作成後、そのユーザのメールアドレス
を定義して [連絡先情報] タブの [アラートメールを受信] オプションを有効に
し、さらにそのユーザに対して予約タスクの [レポートの生成および送信] が有効
である場合、そのユーザのメールアドレスにレポートが送信されない問題がありま
した。
修正17:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題18: [DSSEG-189]
Deep Security Managerの以前のバージョンでは、アップグレード時にデータベー
ススキーマの変更が必要となる場合があり、アップグレードプロセスの一部とし
てカスタムスクリプトを実行する必要がありましたが、MS SQLサーバで大文字と
小文字を区別する設定をしている場合、このカスタムスクリプトが実行されない
問題がありました。
修正18:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題19: [TT341327/DSSEG-207]
ホストの表示名が異なり、ホスト名が空白に設定されているため、イベントベース
タスクが開始されない問題がありました。
修正19:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題20: [DSSEG-210]
Deep Security Managerでマルチテナント機能が有効化され、Deep Security Relay
と数台のDeep Security Agentを含むテナント (T1) があり、T1のRelayから
セキュリティアップデートをダウンロードするように設定されている場合、および
何らかの理由でT1のRelayがオフラインになった場合、T1のAgentがT0のRelayから
セキュリティアップデートをダウンロードできない問題がありました。
修正20:
本Patchの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題21: [DSSEG-178]
[アプリケーションの種類] で、侵入防御ルールを [推奨設定から除外] するよう
にポリシーレベルで設定した場合に、コンピュータの [侵入防御] 画面の推奨設
定のセクションにおいて、[未解決の推奨設定] 項目の [割り当て解除を推奨] の
ルール数が正確に反映されない問題がありました。
注意: 全ての「アプリケーションの種類」が、推奨検索での推奨設定をサポートし
ているわけではありません。
修正21:
本Patchの適用後は、この問題が修正されます。
