Trend Micro Deep Security 9.6 Service Pack 1 Patch 1 公開のお知らせ:サポート情報 : トレンドマイクロ
Trend Micro Deep Security 9.6 Service Pack 1 Patch 1 リリース。
Trend Micro Deep Security 9.6 Service Pack 1 Patch 1 を下記日程にて公開いたします。
■ 公開開始日
2016 年 06 月 22 日 (木)
■ 追加機能/修正内容
付属の各 Readme ファイルをご覧ください。
■ 入手方法
本製品の各コンポーネントは最新版ダウンロードページの「統合サーバセキュリティ対策」カテゴリからダウンロードできます。
「最新版ダウンロードページ」
サポート情報 : トレンドマイクロ
複数のバグ修正と新機能らしい。
1.1 このリリースの概要 ====================== Deep Security 9.6 Service Pack 1 Patch 1には、複数のバグ修正といくつかの新機 能が含まれています。 前回リリースされたDeep Security Managerバージョンからの主な変更点について は、Deep Security管理者ガイド、またはDeep Security Managerのオンラインヘル プに記載されている、新機能に関するセクションをご覧ください。 1.2 アップグレードに関する注意事項 ================================== - Deep Security Manager 9.6 Service Pack 1 Patch 1にアップグレードするには、 Deep Security 9.0 Service Pack 1 Patch 5以降、9.5 Service Pack 1 Patch 3以 降または9.6 Service Pack 1を実行している必要があります。 9.0より前のバージョンのDeep Security Agentを保護対象として実行している 環境でDeep Security Managerを9.6 Service Pack 1 Patch 1にアップグレードす ると、アップグレードのインストール中に、該当するAgentとアップグレード後に 通信できなくなるという警告が表示されます。Deep Security Manager 9.6 Service Pack 1 Patch 1は、9.0 Service Pack 1 Patch 4以降、 9.5 Service Pack 1以降を使用したDeep Security AgentおよびDeep Security Virtual Applianceのみサポートしています。 詳細については、「6. 既知の非互換性」を参照してください。 - Deep Security 9.6 Service Pack 1 Patch 1では、ESXi 4.1がサポートされませ ん。Deep Security 9.6 Service Pack Patch 1をインストールするには、VMware インフラストラクチャ (vCenter、vShield Manager、vShield Endpoint、および vShield Endpointドライバ) をバージョン5.0以降にアップグレードする必要があ ります。 また、VMwareのWebサイトで、ナレッジベースの記事などのVMware環境のアップ グレードに関するドキュメントも確認してください。 http://kb.vmware.com/kb/2032756 http://kb.vmware.com/kb/2052329 - Deep Security 9.6 Service Pack 1 Patch 1では、協調的保護はサポートされま せん。Deep Security Manager 9.6 Service Pack 1 Patch 1にアップグレードす ると、Deep Security Virtual Appliance (DSVA) で保護されており、かつDeep Security Agentがインストールされている仮想マシンでは、コンバインモードが 有効になります。コンバインモードでは、DSVA (Agentレスによる保護) によって 不正プログラム対策保護と変更監視が提供され、残りの機能はAgentから提供され ます。 - Deep Security Managerをバージョン9.6 Service Pack 1 Patch 1にアップグレー ドする前に、Deep Security ManagerとMS SQL Serverデータベースの間の通信が 暗号化されていないかどうかを確認してください。暗号化は初期設定では無効にな っていますが、手動で設定されている可能性があります。 Deep Security Manager\webclient\webapps\ROOT\WEB-INF\dsm.propertiesファイ ルで、次の行がないかどうかを確認します。 database.SqlServer.ssl=require この行がある場合は、行を削除してDeep Security Managerサービスを再起動する ことで暗号化を無効にしてから、アップグレードを実行してください。 アップグレードが完了したら、この行を再度追加します。暗号化を無効にしない と、アップグレードが失敗することがあります。 - Deep Security 9.6 Service Pack 1 Patch 1では、バージョン9.6と同様、スケー ラビリティと効率が向上しています。本Patchでは、下記のリンクに記載されてい る手順でデータスキーマのアップグレードを実行する必要があります。本Patchへ のアップグレードを行う前に、下記のリンクに記載されている手順を参照して、 データベーススキーマをアップグレードしてください。 http://esupport.trendmicro.com/solution/ja-JP/1112471.aspx 事前にデータベースのバックアップを取り、営業時間外にアップグレードを実 行してください。 Deep Security 9.6 Service Pack 1 のデータのバックアップをするには、 Deep Security 9.6のオンラインヘルプ、または管理者ガイドの「データベースの バックアップと復元」を参照してください。 なお、アップグレード中もDeep Security AgentおよびDeep Security Virtual Applianceでの保護は継続されます。 2. 修正される内容 ================= 注意: 本Patchをインストール後に、本セクションに「手順」が含まれる場合には「手 順」を実行してください (インストールについては、「5. インストール/アン インストール」を参照してください)。 2.1 新機能 ========== 本Patchでは、次の新機能が提供されます。 本Patchで提供される内容について、下記の形式で記載いたします。 ------------------------------------------------ 機能: [社内管理用番号] 機能の内容 ------------------------------------------------ 機能1: [DSSEG-141] Amazon Cloud Providerの [クラウドアカウントの追加] のプロバイダの地域に 「アジアパシフィック (ソウル)」が追加されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 機能2: [DSSEG-191] Deep Security Managerインストーラに、ベースバージョンとしてDSRUバージョン 16-007.dsruが初期設定で追加されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 機能3: [DSSEG-162] Deep Security Agentは、Deep Security Managerコンソールで [Agentセルフプロ テクション] 設定が変更された場合 ([コンピュータ]→[設定]→[Agentセルフプロ テクション]) 、またはコマンドラインユーティリティの「dsa_control」を使用 した場合、システムイベントで [Agentセルフプロテクションの有効化] または [Agentセルフプロテクションの無効化] イベントをログに記録します。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 機能4: [DSSEG-140] 以前のリリースでは、Deep Securityデータベースの接続文字列パスで、Oracle DatabaseのLDAP構文がサポートされていませんでした。管理者がOracle Internet Directory (OID) でOracleクラスタを使用する場合、Deep Security Managerでは サポートされませんでした。本Patchでは、Deep Security Managerが1台の Oracleサーバだけではなく、クラスタ環境に接続できるようになり、Deep Security Managerで接続文字列としてLDAP構文を使用できます。 この機能を実装するには以下の手順を実行します。 1. Deep Security Managerのサービスを停止します。 2. 次の場所にある「dsm.properties」ファイルを開きます。 Windowsの場合: C:\Program Files\Trend Micro\Deep Security Manager\webclient\webapps\ROOT\WEB-INF Linuxの場合: /opt/dsm/webclient/webapps/ROOT/WEB-INF 3. 「dsm.properties」ファイルの末尾に次の行を追加します。 database.Oracle.ldapEnable=1 database.Oracle.ldapSyntax=ldap://dbserver1.ds.com:389/DS,cn=dbserver1,dc=ds,dc=com ldap://dbserver2.ds.com:389/DS,cn=dbserver2,dc=ds,dc=com 注意: 「dc=com」と「ldap://dbserver2.ds.com」の間はタブで区切ります。 4. 「dsm.properties」ファイルを保存します。 5. Deep Security Managerのサービスを開始します。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 機能5: [DSSEG-132] 脆弱性対策の一環で、Deep Security Agentコードに次のステータスコードが追加 されました。 * 無効なTCPタイムスタンプ = 153 * TCP SYNパケット (データあり) = 154 * TCP Split Handshake = 155 本Patchの適用後は、これらのイベントを適切にログに記録できるようになりま す。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 機能6: [DSSEG-135] Deep Security ManagerがメンテナンスイベントをvCenterから受け取ってから10分 経過するとタイムアウトを起こし、vCenterのメンテナンスジョブが応答停止して しまう問題がありました。 本Patchの適用後は、他のすべての仮想マシンがシャットダウン中またはvMotionに 移行中かどうかをDeep Security Managerが確認し、実行中のアクティビティがな くなるまでスレッドが待機します。 2.2 本Patchで修正される既知の問題 ================================= 本Patchでは、次の問題が修正されます。 本Patchで修正される内容について、下記の形式で記載いたします。 ------------------------------------------------ 問題: [社内管理用番号] 問題の内容 修正: 修正の内容 手順: 手順の内容 ------------------------------------------------ 問題1: [TT-338284/DSSEG-115] Deep Security Managerを以前のバージョンからアップグレードする際、 [不正プログラム対策イベント] テーブルの [主要なウイルスの種類] 列の値が NULLのままになることがありました。その結果、Deep Security Managerコンソー ルに、値がNULLのすべての列が正常に表示されない問題がありました。 修正1: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題2: [TT337361/DSSEG-71] Deep Security Virtual Applianceのアクティベーションプロセス中に Deep Security Managerで「内部エラー」が発生することがありました。 修正2: 本Patchの適用後は、POSTコマンドの実行のタイムアウト値が実装され、この問題 が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題3: [TT335271/DSSEG-23] 予約タスクを有効化せずに作成し、後から [有効] を選択すると、予約タスクが今 すぐに実行されてしまう問題がありました。 修正3: 本Patchの適用後は、この動作が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題4:[DSSEG-88] [Agentからのリモート有効化] によって開始されるイベントベースタスクで、 AWS EC2インスタンスタグに基づいてDeep Securityポリシーを割り当てると、 失敗する問題がありました。 修正4: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題5: [DSSEG-118] 予約タスクでセキュリティアップデートを実行する際に、Deep Security Manager から一度に2つのアップデートコマンドが発行され、その内の1つのアップデート が失敗する問題がありました。 修正5: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題6: [TT336697/DSSEG-136] Deep Security ManagerとMicrosoft SQL Serverが正常に通信するために、 .vmoptionsファイルに以下のオプションが必要でした。 -Djsse.enableCBCProtection=false しかし、このオプションを使用していると、Deep Security ManagerとMicrosoft SQL Server間のBEAST脆弱性 (CVE-2011-3389) への対抗策が無効になる問題があり ました。 修正6: 本HotFixの適用後は、jtdsドライバがアップグレードされ、上記オプションを使う ことなく、Deep Security ManagerとMicrosoft SQL Serverが正常に通信できるよ うになります。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題7: [TT340695/DSSEG-137] ログメッセージファイルの日本語の記述が文字化けする問題がありました。 修正7: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題8: [TT335152/DSSEG-133] vCenterに多くのフォルダやグループが作成されていると、「Applianceの配置」の 実行時に、「[名前] は空白にできません。」のエラーが出る問題がありました。 修正8: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題9: [DSSEG-125] 不正プログラム検索設定の [検索除外] で、無効なディレクトリエントリを含ん でいるにも関わらず、設定の変更が保存できてしまう場合がありました。 修正9: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題10: [TT-342337/DSSEG-186] vCenterがサポート対象のESXiバージョン (5.5.x、6.0.x) とサポート対象外の ESXiバージョン (5.1.x、5.0.x、4.x....) の両方を管理している場合、NSX ManagerがTrend Micro Deep Securityサービスの配信に失敗する問題がありまし た。 修正10: 本Patchの適用後は、サポート対象外のESXiバージョンをTrend Micro Deep Securityプロファイルに含むことがなくなり、NSX ManagerがTrend Micro Deep Securityサービスを正常に配信できるようにします。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題11: [TT340846/DSSEG-143] Active Directoryが空白の結果を返すことに起因して同期が行われ、Deep Security Managerから、rootグループを含むすべてのコンピュータおよびグループ が削除されます。ただし「Directory」オブジェクトは削除されないため、ユーザ がそのオブジェクトを追加して戻そうとした場合、Deep Security Managerで Active Directoryがすでに存在するというメッセージが表示される問題がありま した。 修正11: 本Patchの適用後は、次の2点が変更され、問題が修正されます。 - rootグループの削除を防ぎます。 - Active Directoryが空白の結果を返す場合は同期を中止します。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題12: [DSSEG-134] ESXi5.5の環境下で、Deep Security Virtual Applianceに保護されているSQL Server フェールオーバークラスターノードを有効化または無効化するときに、 ノードへの通信が遮断される問題がありました。 修正12: 本Patchの適用後は、この問題が修正されます。 注意: この修正を有効にするには、ESXi 5.5U3b (ビルド番号3248547以上) にアップグ レードし、次の手順を実行する必要があります。 ESXiで、次のファイルを変更します。 /etc/vmware/hostd/config.xml 「useVigorVim」キーをfalseに設定します。 次のコマンドを使用して、hostdサービスを再起動します。 /etc/init.d/hostd restart ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題13: [TT-340918/DSSEG-157] ポリシーのルール設定を誤ると、ルール編集の失敗が発生することがあり、Deep Security Managerにはこのエラー状態が表示されない問題がありました。 修正13: 本Patchの適用後は、新たなアラートが追加され、エラーイベントとエラー状態が 表示されるようになり、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題14: [TT338991/TT337978/DSSEG-173] Deep Security 9.6 Patch 1で、Deep Security Managerが configuration.propertiesファイルでTLSのバージョンを設定できる機能が実装さ れましたが、TLSv1.2のみを使用して設定されているDeep Security Managerから Deep Security Relayがソフトウェアパッケージをダウンロードできない問題があ りました。 修正14: 本Patchの適用後は、この問題が修正されます。 注意: Deep Security ManagerでTLS 1.2のみを使用する場合、Deep Security Managerと NSXとの通信が切断される問題がありました。これは、NSXがポート4119でDeep Security Managerとの接続を回復する場合、ポート4119ではTLS 1.0のみしか使用 できないためです。 これは、現在のNSX Managerの制限事項となります。 同様に、非NSX環境でDeep Security Filter Driverが配置されている場合、TLS 1.2が正常に動作するには、ESXi 5.5以上のバージョンが必要となります。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題15: [DSSEG-179] AgentEntityIDの値が32ビットの整数の最大値を超える場合、AgentEntityIDが オーバーフローするため、Deep Security Managerが変更監視イベントを取得でき ず、無限ループに入る問題がありました。 修正15: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題16: [DSSEG-185] AWSインスタンスで Deep Security Agentの [Agentからのリモート有効化] を使用 してポリシーを割り当てると、競合が発生する場合があり、これに起因して Deep Security Managerコンソールでホスト名が重複する問題がありました。 修正16: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題17: [TT340939/DSSEG-187] 管理者がDeep Security Managerのユーザを作成後、そのユーザのメールアドレス を定義して [連絡先情報] タブの [アラートメールを受信] オプションを有効に し、さらにそのユーザに対して予約タスクの [レポートの生成および送信] が有効 である場合、そのユーザのメールアドレスにレポートが送信されない問題がありま した。 修正17: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題18: [DSSEG-189] Deep Security Managerの以前のバージョンでは、アップグレード時にデータベー ススキーマの変更が必要となる場合があり、アップグレードプロセスの一部とし てカスタムスクリプトを実行する必要がありましたが、MS SQLサーバで大文字と 小文字を区別する設定をしている場合、このカスタムスクリプトが実行されない 問題がありました。 修正18: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題19: [TT341327/DSSEG-207] ホストの表示名が異なり、ホスト名が空白に設定されているため、イベントベース タスクが開始されない問題がありました。 修正19: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題20: [DSSEG-210] Deep Security Managerでマルチテナント機能が有効化され、Deep Security Relay と数台のDeep Security Agentを含むテナント (T1) があり、T1のRelayから セキュリティアップデートをダウンロードするように設定されている場合、および 何らかの理由でT1のRelayがオフラインになった場合、T1のAgentがT0のRelayから セキュリティアップデートをダウンロードできない問題がありました。 修正20: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題21: [DSSEG-178] [アプリケーションの種類] で、侵入防御ルールを [推奨設定から除外] するよう にポリシーレベルで設定した場合に、コンピュータの [侵入防御] 画面の推奨設 定のセクションにおいて、[未解決の推奨設定] 項目の [割り当て解除を推奨] の ルール数が正確に反映されない問題がありました。 注意: 全ての「アプリケーションの種類」が、推奨検索での推奨設定をサポートし ているわけではありません。 修正21: 本Patchの適用後は、この問題が修正されます。