InterScan Web Security Virtual Appliance 3.1 Patch 2 ならびに OS Patch 公開のお知らせ:サポート情報 : トレンドマイクロ(情報元のブックマーク数)
InterScan Web Security Virtual Appliance 3.1のOSパッチとソフトウエアパッチが出ています。
■修正点
本 Patch 2 ならびに OS Patch での修正点については、付属のReadmeファイルをご参照ください。
- InterScan Web Security Virtual Appliance 3.1 OS Patch Readme
- InterScan Web Security Virtual Appliance 3.1 Patch 2 Readme
■適用対象バージョン
サポート情報 | トレンドマイクロ
本Patch 2 (ビルド1174) は、InterScan Web Security Virtual Appliance 3.1 ビルド 1137 から 1173 までの環境に適用できます。
OS Patch は、Patch 2 適用前に製品に適用しておく必要があります。
新機能も修正も多々ありまくりです。修正パッチは適用必須ですね
2.1 新機能
==========
本Patchでは、次の新機能が提供されます。
- 機能1: 64ビットZIPファイルに対する検索処理として「放置」ができるように
なります。
64ビットZIPファイルは検索エンジンで検索できないため、IWSVAによって
ブロックされる問題がありましたが、このファイルの処理を放置にするこ
とでダウンロードができるように設定を追加しました。
本Patch適用後にintscan.iniファイルの [Scan-configuration] セクショ
ンに「extract_zip64」パラメータを追加することで設定できます。
「extract_zip64=honor」は、IWSVAがこのファイルをブロックすることを
意味します。
「extract_zip64=ignore」は、IWSVAがこのファイルを放置することを意
味します。
- 機能2: IWSVAのLDAP認証チェックプロセスをプロセスを強化し、BasicまたはNTLM
認証のみサポートするようになります。
BasicまたはNTLM認証のヘッダにおいて偽認証ヘッダを使用すると認証漏れ
が起こる問題がありましたが、認証チェックプロセスを強化することで
問題解決を行いました。また、「force_basic_NTLM」パラメータを
intscan.iniファイルに追加することで、旧バージョンとの互換性を持たせ
ることができます。
本Patchの適用後に、intscan.iniファイルの [LDAP-Setting] セクション
に「force_basic_NTLM=yes」を追加することで有効になります
- 機能3: 解凍ファイルサイズが2GBを超える圧縮ファイルのダウンロードができる
ようになります。
解凍ファイルのサイズが2GBを超えるファイルは検索エンジンの制限に
よってエラーコード「-76」が返されます。これにより、圧縮ファイルの
ダウンロードが中止される問題がありましたが、ダウンロードできるよう
に設定を追加しました。
本Patch適用後に、intscan.iniファイルの [Scan-configuration] セク
ションに「extract_too_big」パラメータを追加することで設定できます。
「extract_too_big=honor」は、大きな圧縮ファイルのダウンロードを
ブロックします。
「extract_too_big=ignore」は、大きな圧縮ファイルのダウンロードを
可能にします。
- 機能4: HTTP/FTPアクセスイベントのログクエリが実行できるようになります。
IWSVA 3.1リリース時に制限した機能を追加することでログクエリが実行
できるようになりました。
アクセスログのクエリを許可するには、本Patch適用後に次の手順を実行
してください。
a. intscan.iniファイルの [internet-access-monitoring] セクションに
ある「url_file_threshold_summary」パラメータの値を「1」へ設定し
ます。
[internet-access-monitoring]
url_file_threshold_summary=1
b. 管理コンソールで、[ログ]→[設定]→[セキュリティログ] の順に選択
して設定を変更し、[保存] をクリックします。
- 機能5: IWSVAによるクライアント接続の割り当て制限違反を記録するオプションが
追加されます。
IWSVAにクライアント接続の割り当て制限ができない問題がありましたが、
制限できるように設定を追加しました。
クライアント接続の割り当て制限を有効にするには、本Patch適用後に次の
手順を実行してください。
a. intscan.iniファイルの [main] セクションにある
「enable_client_connection_quota」パラメータの値を次のように変更
します。
enable_client_connection_quota=yes
b. intscan.iniファイルの [main] セクションにある
「enable_client_quota_logging」パラメータの値を次のように変更
します。
enable_client_quota_logging=yes
注意: 「enable_client_quota_logging=yes」の設定により、IWSVAでクラ
イアント接続の割り当て違反をデータベースのURLブロックログに
記録できるようになります。「enable_client_quota_logging=no」
に設定すると、IWSVAによるログの記録は停止されます。
c. ClientConncetionQuotaWhiteList.iniファイルを開き接続の割り当て
制限から除外するIPアドレスまたはIPアドレス範囲を追加します。
注意: ClientConncetionQuotaWhiteList.iniファイル編集前に説明の参照
をしておくことをお勧めします。
d. 次のコマンドを実行してHTTPサービスを再起動します。
/var/iwss/S99ISproxy stop
/var/iwss/S99ISproxy start
- 機能6: ブリッジ/プロキシ (アップストリームなし)/WCCPモードの非HTTP
トンネリング (バイパス) オプションが追加されQQサーバへログイン
できるようになります。
IWSVAは非HTTPトラフィックの通信をサポートしていないため、
クライアントがIWSVA経由でQQサーバに正常にログインできない問題が
ありましたが、非HTTPトラフィックをバイパスさせることでQQサーバへ
ログインできるよう設定を追加しました。
次のCLIコマンドを使用してtunnel_non_http_trafficオプションを有効ま
たは無効にします。
#Turn on tunnel_non_http_traffic (有効)
#Turn off tunnel_non_http_traffic (無効)
「tunnel_non_http_traffic」が有効になっているとき、トンネリングさ
れた非HTTPトラフィックに対してウイルス検索がスキップされますが、
ACLおよびIPベースのWRS/TMUFE/URLポリシーは依然として適用されます。
すべての検索処理に対するスキップを有効にするには、次の手順を実行し
てください。
a. IWSVAPIProtocolHttpProxy.pniファイルを開き[http] セクションに
次のように追加して保存します。
scan_non_http_traffic=no
b. 次のコマンドを実行してHTTPサービスを再起動します。
/etc/iscan/S99ISproxy stop
/etc/iscan/S99ISproxy start
CLIを使用してbypass_non_httpを有効または無効にしているとき、
「scan_non_http_traffic」設定は常に「yes」に上書きされます。
- 機能7: SUN ONEディレクトリサーバに対するクリアテキスト認証が使用できるよう
になります。
セキュリティ上の理由により、IWSVAはSUN ONEディレクトリサーバに対す
るクリアテキスト認証を許可しないように設計されています。これはシン
プル認証方法を選択している場合も同様です。特定の環境においてSUN ONE
ディレクトリサーバに対するクリアテキスト認証が必要な場合は下記手順
に沿って設定をしてください。
クリアテキスト認証を有効にするには本Patchの適用後、次の手順を実行
してください。
a. intscan.iniファイルの [LDAP-Setting] セクションで次のパラメータ
を変更または追加します。
[LDAP-Setting]
Authentication=simple
AuthenticationName=ClearText
UseImmediateGroupMembershipOnly=yes
b. 次のコマンドを実行してHTTPサービスを再起動します。
/var/iwss/S99ISproxy stop
/var/iwss/S99ISproxy start
- 機能8: WCCPのHASH割り当てまたはMASK割り当てのいずれかを使用できるように
なります。
IWSVAではWCCPのMASK割り当ておよびHASH割り当て方法がサポートされて
いない問題
本Patchの適用後、WCCPのMASK割り当てまたはHASH割り当てのいずれかを
サポートするには下記手順を実行してください。
MASK割り当て方法を有効にするには、次の手順を実行してください。
a. 次のコマンドを実行してWCCPサービスを停止します。
/usr/iwss/S99ISWCCPd stop
b. IWSSPIProtocolHttpProxy.pniファイルを開き次の行のコメントを解除
します。
"wccp_dynamic_service=dynamic 80"
"wccp_service_info=80 protocol=tcp
flags=source_port_hash,src_port_alt_hash
priority=120 ports=80,21"
c. 次の行をコメント化します。
"wccp_service=dynamic 80 protocol=tcp
flags=src_ip_hash,dst_ip_hash,source_port_hash
priority=120 ports=80,21"
d. 「wccp_assignment_method」パラメータの値を「2」に変更します。
wccp_assignment_method=2
e. 変更を保存します。
f. 次のコマンドを実行してWCCPサービスを開始します。
/usr/iwss/S99ISWCCPd start
注意: MASK割り当てを有効にする前に、お使いのCiscoデバイスおよびIOS
のバージョンでMASK割り当てがサポートされていることを確認して
ください。
HASH割り当て方法を再度有効にするには、次の手順を実行してください。
a. 次のコマンドを実行してWCCPサービスを停止します。
/usr/iwss/S99ISWCCPd stop
b. IWSSPIProtocolHttpProxy.pniファイルを開き
「wccp_assignment_method」パラメータの値を「1」に変更します。
wccp_assignment_method=1
c. 次のコマンドを実行してWCCPサービスを開始します。
/usr/iwss/S99ISWCCPd start
めっちゃくちゃ、修正されています、適用必須ですね!!!
2.2 本Patchで修正される既知の問題
=================================
問題1:
FTP over HTTPのICAPモードでFTPサイトに接続すると、シンボリックリンク
ディレクトリのディレクトリリストが表示されない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
FTP over HTTPのICAPモードでFTPサイトに接続した場合に、シンボリックリンク
ディレクトリのディレクトリリストに使用されるコンテンツタイプを変更しないよう
にします。
これにより、シンボリックリンクディレクトリのディレクトリリストが正常に表示
されます。
問題2:
特定のWebサイトにアクセスした後、Postgre SQLへログデータをインポートするのに
失敗する問題
これは、特定のWebサイトでMIMEタイプの分割に「\r」が使用されているため、ログ
データに「\r」が含まれてしまいPostgre SQLへのログのインポートに失敗します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
MIMEタイプ情報をログに書き込む際に「\r」を削除することで対処しました。
問題3:
アクセスログのファイル名のサフィックスが、IWSVAの再起動後、正しくない値に
設定される問題
これにより、最新のアクセス記録が適切なログファイルに書き込まれなくなります。
また、同様の問題がURLブロックログでも発生します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
HTTPデーモンによって、アクセスログファイルとURLブロックログファイルの適切な
サフィックス番号が取得されるようになります。
問題4:
クライアントがHTTP応答ヘッダの中央に「\r」の行を含んだ不正な形式を返すWebサ
イトへアクセスできない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
IWSVAは、HTTPヘッダの中央に「\r」の行がある場合、この「\r」をスキップしま
す。これにより、不正なHTTP応答を含んだWebサイトへのアクセスが可能になりま
す。
問題5:
Firefox 3.0で、予約レポートのグラフィックスが正常に表示されない問題
これは、Firefox 3.0で、URLパスの区切り文字である「\」を「/」として解析でき
ないためです。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
IWSVAの予約レポート内のグラフィックスが、Firefox 3.0で正常に表示されるように
なります。
問題6:
クライアントが特定のFTPサイト (例、ftp.synopsys.com) にアクセスし、そのサイ
トが50行を超える長い応答文字列を返すと、FTPログインに失敗します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本PatchによりIWSVAで処理可能なFTP応答の最大行数を増やすことで、このFTPの
ログインの問題を解決します。
問題7:
TrustedURLs.iniの [error_type] セクションが、[URLの信頼] 設定の保存後に
削除される問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
TrustedURLs.iniの [error_type] セクションが、[URLの信頼] 設定の保存後も
削除されないようになります。
問題8:
ICAPモードでパターンファイルのアップデート完了後、デッドロックプロセスが発生
し別プロセスでの再起動が繰り返される問題
この問題が発生すると、IWSSDプロセスのCPU使用率が100%近くまで上昇します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
ログ出力によって発生するデッドロックの問題であるため共通ログモジュールを修正
しました。これにより、パターンファイルのアップデートの完了時に再起動処理の
繰り返しによって発生するCPU使用率の問題が起こらなくなります。
問題9:
クライアントがポート21以外のポートを待機するFTPサイトへアクセスできない問題
これは、[アクセス管理] の [宛先ポート] 設定で許可されている場合でも同様
です。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
FTPプロキシがクライアントからFTP接続要求でポート21以外のリクエストも受け付け
るようにしました。
問題10:
intscan.iniファイルの破損により、IWSSDを起動できなくなる問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchの適用後は、intscan.iniファイルが破損されないようにファイルのロック
が追加されます。
問題11:
1,000件を超えるURLをHTTP Webレピュテーションの除外リストにインポートすると、
JAVA例外エラーが表示される問題
これは、リストのインポート時に開いたSQL定義ファイルがリストのインポート終了
後に閉じないために起こりました。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
SQL定義ファイルをリストのインポート終了後に閉じるようにしました。
問題12:
IPアドレスまたはゲートウェイを再設定した後、WCCPモードでは、これに対応して
ネットワークアドレス情報が更新されない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchの適用後は、IPアドレスまたはゲートウェイを更新した場合にWCCPサービス
が再起動されるようになります。
問題13:
CMAgentおよび予約アップデートが有効になっている場合に、コアダンプファイルが
生成される問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchは、ソースプログラムの競合を排除することによりこの問題を解決していま
す。
問題14:
SNMP通知メッセージの送信時にメモリリークの問題が発生する問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchは、この問題を解決するためにSNMPライブラリをアップデートしています。
問題15:
フィッシングパターンファイルによって検出されるフィッシングサイトの検出イベ
ントが、概要ページの概要レポートに表示されない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
フィッシングパターンファイルによるフィッシングサイトの検出イベントが、概要
ページに表示されるようになります。
問題16:
上位ISAサーバの応答が遅く、接続のタイムアウトが発生すると、認証ボックスが
表示される問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchの適用後、接続のタイムアウトが発生すると、IWSVAは [サービスが利用で
きません] というメッセージを表示して応答します。
問題17:
概要ページのHTTP/FTPサービスのステータス状況が正確でない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
実際のHTTP/FTPサービスの状況と同期を取るようにしました。
問題18:
LDAP環境においてキリル文字を使用したユーザ認証を行った場合、アクセスログ
またはレポートでキリル文字のユーザ名が正しく表示されない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
NTLMユーザ名をUnicode形式で取得することにより、キリル文字の表示を正しく行う
ようにしました。
問題19:
システムでdb_reindex.shまたはdb_vacuum.shファイルが実行されていない場合で
も、tb_taskテーブルおよびtask_start値は1のままになる問題
この状況で、db_reindex.shまたはdb_vacuum.shファイルの実行を続けると、vacuum
またはreindexコマンドが実行されることなく、これらのファイルの実行が終了して
しまいます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
ps -efコマンドの結果も参照し、該当プロセスが実行されているかを確認する方法を
追加しました。
問題20:
[HTTP/FTPアクセスイベントの記録] の設定を変更すると、FTPが有効になる問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
設定変更時にHTTP/FTPサービスの状況を確認するようにし、無効なサービスを有効に
しないようにしました。
問題21:
IWSVAでは、規格に準拠したHTTPを使用していない一部のオンラインラジオサイトを
正しく処理できない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
該当サイトからのレスポンスを準拠したHTTP 1.xとみなし、IWSVAが分析しないこと
で問題の回避をしました。
問題22:
一部のMIBファイルは定義が重複しており、SNMP規格に従っていない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
RFC規格に従うようにMIBファイルの更新をしました。
問題23:
IWSVAを長時間に渡り使用していた場合、実際のCPU使用率は正常であるにもかかわ
らず、システムダッシュボードに表示されるCPU使用率が100%に到達している場合が
ある問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
システムダッシュボードにCPU使用率を表示する機能のバッファオーバーフロー問題
を修正しました。
問題24:
IWSVA経由で転送した大きなファイルが壊れることがある問題
この問題は、IWSVAが遅延検索の間に間違ったバッファデータをクライアントに送信
するために発生します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchは、遅延検索時のデータの分割送信方法を修正し、IWSVAから常に正しい
ファイルがクライアントに送信されるようにすることで、この問題に対応していま
す。
問題25:
IWSVAがFTP検索デーモンのみを有効にした場合、パターンファイルのアップデート
は正常終了しても、更新に失敗したことを示す正しくないログが記録される問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
ダウンロードした最新パターンファイルをロードするためにHTTP/FTPデーモンが再起
動するように促すシグナルを送信する前に、実際にHTTP/FTPデーモンが起動している
かの確認を行うようにしました。
問題26:
4GBを超えるサイズのファイルをダウンロードしようとすると、完全なファイルが
ダウンロードできず、エラーページも表示されない問題。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchの適用後、IWSVAによって応答ページが表示され、4GBよりも大きなサイズの
ファイルはダウンロードを試みても完全にはダウンロードできないことが示される
ようになります。
問題27:
JSPファイルにハードコードのディレクトリ情報が記載されていたため、監査ログの
ログ出力ディレクトリを変更した後、監査ログの新しいメッセージがIWSVAのWeb
コンソールに表示されない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
JSPファイルに記述されていたハードコードのディレクトリ情報を削除しました。
問題28:
PostgreSQLデータベースをローカルからリモートに変更すると、rcIwssの処理に
失敗し、ダッシュボードではリモートデータベースのデータが使用されない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
データベース起動スクリプトにMetric Managementデーモンの再起動を行うよう修正
しました。
問題29:
マルチコアシステムを使用している場合、負荷が各CPUに均等に分散されない問題
このため、1つのCPUだけ使用率が高くなり、他のCPUは低いままの状態になります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchの適用後、複数のCPU間で負荷が分散されるように監査スクリプトから
fixcpu.shファイルが呼び出されます。
問題30:
全角文字を含むURLがレポート内で正常に表示されない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
全角文字を含む場合、ログをHexエンコードで表示するようにしました。
問題31:
Javascan/MMCモジュールがファイル名を正しく違反ログのエントリに書き込まない
問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
各検索モジュールからURL内のファイル名を摘出するようにしました。
問題32:
[ブロックトラフィックと通過トラフィックの区別] レポートの、ブロックされたト
ラフィックまたはブロックされていないトラフィックを計算するアルゴリズムが正
しくない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
トラフィック計算のアルゴリズムを変更しました。
問題33:
IWSVAがコンテンツをブロックすると、「HTTP/1.x 403 FORBIDDEN」メッセージでは
なく「HTTP/1.x 403 OK」メッセージが返される問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
返答コード403では「Forbidden」となるように修正しました。
問題34:
URLの信頼において「URLの信頼を有効にする」を選択した場合、信頼リストに登録
したすべてのURLに対してIWSVAがウイルス検索をスキップする問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
intscan.iniファイルの[http]セクションに「scan_trusturl_without_ftblock」
パラメータを追加することで問題を回避します。
scan_trusturl_without_ftblock=yes : 信頼されたURLのスキャンを有効にする
scan_trusturl_without_ftblock=no : 信頼されたURLのスキャンを無効にする
問題35:
WCCPモードを無効にしている場合でも、IWSVAサービスの開始時にWCCPの開始に失敗
したことを示すエラーメッセージが表示される問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
WCCPモードが無効な場合、エラーメッセージが表示されないようにしました。
問題36:
Proxy-Authorizationヘッダに付く認証方法の名前を処理できない場合に、IWSVAが
このヘッダを削除せず、Webサーバ側に送信してしまうことがある問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
IWSVAがリクエストからホップバイホップヘッダを適切に削除するようになり、
Proxy-AuthorizationヘッダをWebサーバ側に送信することがある問題を修正しまし
た。
問題37:
一部のJSPページにセッション制御の機能しかないために、非管理アカウント
(「監査担当者」および「レポート専用」) でも、適切な権限を取得することなく
システム設定を変更できてしまう問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
管理コンソール上の権限強化を行いました。
問題38:
IWSVAがすべてのHTTP応答にContent-Lengthヘッダが含まれていると仮定する問題
IWSVAがContent-Lengthヘッダを含まないHTTP応答コード (たとえば「304」) を処
理するとき、送信先クライアントにFinパケットを送信するため、ネットワークパ
フォーマンスの問題の原因となります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
HTTP応答コードを処理するとき、HTTP parserが正しくHTTPバージョンおよび接続
またはProxy-Connectionヘッダを頼るよう修正しました。
問題39:
検索エンジンが使用するtmpディレクトリが一杯になると、IWSVAは圧縮ファイル内の
ファイルを検索できず、ファイルがクライアントにそのまま渡されてしまう問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
検索エンジンが、ディスクの空き領域不足の問題で圧縮ファイルを解凍できなかった
場合、IWSVAは圧縮ファイルをブロックします。
問題40:
Websenseクライアントは、IWSVA経由でWebsenseサーバからコンテンツをダウンロー
ドできない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
ブリッジモードにおいてネットワークパケットからリクエスト先のIPアドレスを取得
することで問題の回避をしました。
注意: RFCに矛盾するため、本修正はプロキシモードでは機能しません。
問題41:
IWSVAのHTTP Proxy機能の問題による以下の問題によりシステムおよびスワップメモ
リ不足が発生していました。
a. iwssd子プロセス数がintscan.iniファイルの設定値より多くなる
b. IWSVAからICAPクライアントへ送信されるICAP ISTag内において外見上のパ
ターン番号情報のロールバック
c. 管理コンソールからHTTPサービスを停止したにも関わらずiwssd子プロセス
がタスクリストに表示される
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
IWSVAのHTTPスキャンサービスによる子プロセス管理ルーチンに存在した競合状態の
問題を修正し、システムおよびスワップメモリ不足を解消しました。
問題42:
LANバイパスカードを有効にしている間に、ブリッジモードから別のモードに切り替
えると、ネットワーク接続が切断される問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
バイパス監視スクリプトにモード切り替え監視機能を追加しました。
問題43:
SUNディレクトリがOUを使用してグループの関係を示していない場合、IWSVAではグ
ループの情報を取得できない問題
このため、グループポリシーを適用できません。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchの適用後、SUNディレクトリは、uniqueMemberの機能を使用してグループ情報
を取得するようになります。これにより、グループポリシーが適切に適用されます。
問題44:
IWSVAがLDAP認証ユーザ名の一部として常にドメイン名を要求する問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
ドメイン名を入力しない場合、メインLDAPサーバのドメイン名を使用するようにしま
した。
問題45:
HTTPサービスを再起動するたびに、ダンプファイルが生成される問題
これは、InfectedB.iniファイルに不正な形式のログ時間が含まれている場合に発生
します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchの適用後、IWSVAは、InfectedB.iniファイル内で不正な形式のログ時間を含
むエントリをスキップするようになります。これにより問題が解決されます。
問題46:
IWSVAがブリッジモードを使用しており、さらに上位プロキシが外部にある場合に、
不要なDNSクエリを生成する問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchの適用後、IWSVAは、ブリッジモードを使用しており、さらに上位プロキシが
外部にある場合でも、不要なDNSクエリを生成しなくなります。
問題47:
コマンドラインインタフェースでは、Show interfaceコマンドでMACアドレスを表示
できない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
Show interfaceコマンドでMACアドレスが表示されるようにしました。
問題48:
接続数が6,000を超えるとき、IWSVAがシステムメモリを使い果たしてしまう場合が
ある問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本Patchはシステムソケットバッファの設定を調整し、システムメモリリソースを
使い果たすことなく6,000を超える接続を処理可能にします。
問題49:
SNMP INFORMパッケージを送信する際にメモリリークが発生するため、CM.logファイ
ルのサイズが大きく、またSNMPが有効な場合にsycmonitorプロセスが大量のCPUリ
ソースを使用する問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
本PatchはSNMPのINFORMパッケージに関連する設定を削除し、SNMPサービスがINFORM
パッケージを送信しないようにしました。
問題50:
Webコンソールを使用してHTTPデーモンを有効または無効にすると、IWSSDデーモン
が重複して起動する場合がある問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
S99ISProxyがiwssdデーモンを重複して作成しないようにプロセスロックの機能を追
加しました。
問題51:
特定の種類のファイルサイズが4,096バイト未満の場合、IWSVAによって適切にファ
イルを検索できないことがあり、ウイルス漏えいの原因となる可能性がある問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
特定の種類のファイルサイズが4,096バイト未満の場合も、IWSVAはそのファイルの
検索をスキップしなくなり、ウイルス漏えいを防止します。
問題52:
ユーザインタフェースで [HTTP/FTPアクセスイベントの記録] メッセージを有効に
した後、HTTPログに「ERROR: mutex for access log is not initialized」という
エラーメッセージが記録される場合がある問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正:
アクセスログファイルのファイルロックを行うことで、アクセスログへの書き込み
が正常に処理され、エラーメッセージも表示されなくなります。
再起動後にネットワーク接続が復帰が遅い件に対応とのこと。
7. 既知の制限事項 ================= 本リリースにおける既知の制限事項は次のとおりです。 本Patchの適用後にIWSVAサービスを再起動すると、ネットワーク接続がしばらく切断さ れます。 <<
