InterScan Web Security Suite 3.1 Linux 版 Patch 3 公開のお知らせ:サポート情報 : トレンドマイクロ(情報元のブックマーク数)
InterScan Web Security Suite 3.1 Linux 版 Patch 3がリリースされたそうです。
InterScan Web Security Suite 3.1 Linux 版 Patch 3 (ビルド1275) を下記日程にて公開いたします。
サポート情報 | トレンドマイクロ
■ 公開開始日
2011年08月18日 (木)
■修正内容/新機能
付属の Readmeファイルをご覧ください。
■入手方法
「最新版ダウンロードページ InterScan Web Security Suite 」
Readmeファイル、最新のプログラムモジュールは、次のページの「Patch」タブからダウンロードできます。 本Patchのファイル名は "iwss_31_lin_patch3_b1275.tgz"になります。
2.1 本Patchで修正される既知の問題
=================================
注意: 本Patchには、2011年06月08日以前にリリースされたすべてのPatchおよび
HotFixを含みます。
問題1:
IWSSサーバのホスト名が20バイトよりも長い場合に、Trend Micro Control
Manager (以下、Control Manager) に登録されていると、イベント通知内のホスト
名が文字化けする問題
これは、セキュリティイベント (Webセキュリティ違反、Webブロック、ウイルス
検出) 以外のイベント通知で発生します。
修正1:
本Patchの適用後は、Control Managerエージェントのホスト名のバッファ
サイズが1024バイトに拡張されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題2:
FTPサーバのルートディレクトリ配下にユーザ名と同じ名前のディレクトリが存在
していると、その中で新しく作成したディレクトリからファイルを取得できなくな
る問題
これは、IWSSが相対パスを使用してファイルを取得するために発生していました。
修正2:
本Patchの適用後は、相対パスを使用してファイルを取得できなかった場合は、
絶対パスを使用してファイルを取得するようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題3:
Control Managerを使用してIWSSの設定を複製した時、Control Manager
エージェントがクラッシュし停止することがある問題
これは、コマンドの応答メッセージの作成時に、Control Managerエージェントが
初期化されていないパラメータを使用していたために発生していました。
修正3:
本Patchの適用後は、Control Managerエージェントは初期化されたパラメータを
確実に使用するようになります。これにより、Control Managerエージェントは
停止することなく、コマンドの結果がTrend Micro Control Managerへ通知され
るようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題4:
「配信前に検索」を有効にしている場合、ダウンロードしたファイルの名前が変更
される問題
これは、WebサイトからのHTTPレスポンスにおいて、Content-Dispositionヘッダ
の [filename= ] に値がない場合に、クライアントのブラウザがIWSSがクエリの
ために使用したURLからファイル名を取得するために発生していました。
修正4:
本Patchの適用後は、IWSSがクライアントに送信するレスポンスの
Content-Dispositionヘッダの [filename= ] にもとのURLを補います。これに
より、クライアントのブラウザはファイル名を取得することができるようになり、
この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題5:
URLフィルタのキャッシュファイルの不具合により、Webアクセスのパフォーマンス
が低下する問題
これは、ローカルに保存しているURLフィルタのキャッシュが一杯になった場合
などに、新しいURLクエリに関する情報の保存や更新が正常にできなくなるため
に発生していました。
修正5:
本Patchの適用後は、URLフィルタエンジン (TMUFE) がビルド 2.0.1051にアップ
グレードされ、URLフィルタのキャッシュの更新処理の不具合が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題6:
HTTPまたはFTPデーモンのいずれかを無効にしている場合でも、スクリプト
「setup-postgres-env.sh」によりHTTPおよびFTPデーモンが開始される問題
修正6:
本Patchの適用後は、スクリプト「setup-postgres-env.sh」が「intscan.ini」
に設定されているデーモンのステータスをチェックするようになります。
これにより、有効になっているデーモンのみ起動するようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題7:
HotFix ビルド 1252を適用した状態で「MZ」から始まる拡張子名がないテキス
トファイルをダウンロードした場合、IWSSのプロセスがクラッシュし、ダンプ
ファイルを生成する問題
修正7:
本Patchの適用後は、処理方法が改善され、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題8:
IWSSがデータベースへのログファイルのインポートに失敗する問題
IWSSはデータベースにインポートする際、URLデータに対してURLエンコードとHTML
エンコードをし、さらに1024バイトに切り詰めます。
URLのエンコードと切り詰めが完了した際に最後の文字が円マーク「\」である
場合に、円マークが次の文字をエスケープするコマンドとして認識されるため、
PostgreSQLがログのインポートに失敗していました。
修正8:
本Patchの適用後は、IWSSがログファイルにログを書き込む前にURLの最後の
文字を確認するようになります。最後の文字が円マークである場合には、IWSSは
円マークを削除した後にログをデータベースにインポートします。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題9:
IWSS 3.1 Solaris版と異なり、IWSS 3.1 Linux版では予約レポートの通知機能を
無効にできない問題
修正9:
本Patchの適用後は、IWSS 3.1 Linux版で予約レポートの通知機能を無効にできる
ようになります。
手順9:
予約レポートの通知メールを無効にするには、次の手順に従ってください。
1. 「intscan.ini」ファイルを開いて、次のパラメータおよび値を
[notification] セクションに追加します。
disable_report_notify=1
IWSSが予約レポートの通知メールを送信しないようになります。
キーが追加されていないまたは値が「1」に設定されていない場合は、予約
レポートの通知メールは送信されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題10:
IWSSがMLSDコマンドを認識しない問題
これにより、FilezillaのようなFTPクライアントソフトウェアが正常に動作
しませんでした。
修正10:
本Patchの適用後は、IWSSがMLSDコマンドをサポートするようになります。
これにより、MLSDコマンドをサポートするFTPクライアントソフトウェアが正常に
動作するようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題11:
実行形式ファイルをブロックする設定にしていた場合、"MZ"から始まるテキスト
ファイルがブロックされてしまう一方で、このファイルが圧縮されているとブロ
ックされない問題
非圧縮状態のテキストファイルはヘッダ情報のみで実行形式ファイルとして認識
されるのに対し、圧縮されているファイルの場合は検索を試みようとして不明な
ファイルタイプとして判断されるため、このような不整合が発生していました。
修正11:
本Patchの適用後は、拡張子が.comまたは.exeに該当しない4KB未満のファイルは
実行形式ファイルとして識別された場合でも不明なファイルタイプとして処理し、
ブロックされなくなります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題12:
HotFix 1230の適用後、サービス監視モジュールでメモリリークが発生することが
ある問題
修正12:
本Patchの適用後は、このメモリリーク問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題13:
IWSS経由で圧縮ファイルをFTPで送信した場合、圧縮ファイルが破損することが
ある問題
これは送信するデータのサイズをIWSSが正しく計算できないために発生していま
した。
修正13:
本Patchの適用後は、データ送信時に使用されるIWSSの計算方式が修正されます。
これにより、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題14:
ウイルス検索エンジンをバージョン 9.16.1022以降にアップデートした後、
パスワードで保護されており、さらに複数のサブファイルを含むzipファイルに
対して「Password_Protected_File」イベントが複数回発生することがある問題
修正14:
本Patchの適用後は、隠しキー「password_protected_zip_report_once」が追加
されます。これにより、「Password_Protected_File」イベントを1度のみ報告する
ように設定できるようになります。
手順14:
「Password_Protected_File」イベントを1度のみ報告するように設定するには、
次の手順に従ってください。
1. 「intscan.ini」ファイルを開き、次のパラメータおよび値を
[Scan-configuration] に追加します。
password_protected_zip_report_once=yes
2. 次のコマンドを実行してIWSSのHTTPサービスを再起動します。
#/etc/iscan/S99ISproxy stop
#/etc/iscan/S99ISproxy start
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題15:
エラー「452 (Disc quota exceeded)」がFTPサーバから返された場合、LIST
コマンドでディレクトリのリストを表示できない問題
これは、受信した一時ファイルをIWSSが削除しないため、IWSSを経由したFTP
サーバへのファイルのアップロードが中断しても一時ファイルへの書き込み
待ち状態を継続した結果としてタイムアウトが発生し、以降のコマンドを処理
できなかったために発生していました。
修正15:
本Patchの適用後は、IWSSがFTPサーバへのファイルのアップロードに失敗した
場合に、一時ファイルが削除されるようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題16:
HTTPの検索中に複数の圧縮ファイルによる違反が検出されると、ウイルスが検出
されなかった場合でも、IWSSがURLブロックログではなく、ウイルスログに検索
結果を書き込む問題
修正16:
本Patchの適用後は、IWSSがURLブロックログにHTTP検索結果を正常に書き込む
ようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題17:
Webレピュテーションサービスによりブロックされた画面に表示されるメッセージ
にURLブロック通知設定が誤って反映される問題
修正17:
本Patchの適用後は、intscan.iniファイルに2つの隠しキーが追加されます。
このキーを使用して、Webレピュテーションサービスによりブロックされた画面に
表示されるメッセージを設定できるようになります。
手順17:
Webレピュテーションサービスによりブロックされた画面に表示されるメッセージ
を変更するには、次の手順に従ってください。
1. 次の2つの隠しキーをintscan.iniファイルの [Request-scan] セクションの
下に追加します。
- addWRSBlockedMessage
(値には「yes」、「no」、または「replace」を設定します)
- addtl_wrs_block_message
(値には設定するメッセージが含まれるファイルのパスを設定します)
※「addWRSBlockedMessage」の値が「yes」である場合、Webレピュテーション
サービスによりブロックされた画面に、「addtl_wrs_block_message」で指定
したファイル内のメッセージおよび初期設定のメッセージが表示されます。
※「addWRSBlockedMessage」の値が「no」である場合、Webレピュテーション
サービスによりブロックされた画面に、初期設定のメッセージのみが表示
されます。
※「addWRSBlockedMessage」の値が「replace」である場合、Webレピュテー
ションサービスによりブロックされた画面に、「addtl_wrs_block_message」
で指定したファイル内のメッセージのみが表示されます。
※「addWRSBlockedMessage」に値が設定されていない場合、Webレピュテー
ションサービスによりブロックされた画面に表示されるメッセージは従来の
表示から変更されません。
2. IWSS HTTP サービスを再起動します。
#/etc/iscan/S99ISproxy stop
#/etc/iscan/S99ISproxy start
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題18:
遅延検索機能使用時のログ出力フォーマットが不正なため、HTTPデバッグログに
誤った数値が表示される問題
修正18:
本Patchの適用後は、遅延検索機能使用時にHTTPデバッグログに正常な値が表示さ
れるようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題19:
カスタマイズしたFTP検索通知のメッセージが複数の行に分けて表示
されない問題
修正19:
本Patchの適用後は、「
」が改行コードとして認識されるようになり、
カスタマイズしたFTP検索通知メッセージも複数の行に分けて表示でき
るようになります。
注意: 初期設定の通知のオプションおよびカスタマイズ通知のオプションが選択
されている場合は、「
」が区切り文字として認識されません。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題20:
IWSSが「X-Forwarded-For」ヘッダを使用した場合、「User ID」が
「X-Forwarded-For」ヘッダの値として使用されない問題
そのため、通知メールの「%N」値には依然として下位プロキシサーバの
情報が反映されていました。
IWSSが「X-Forwarded-For」ヘッダを認識するには、
「IWSSPIProtocolHttpProxy.pni」ファイルの [http] セクションの下に、
「parse_forwarded_for=yes」キーが設定されている必要があります。
修正20:
本Patchの適用後は、IWSSは「X-Forwarded-For」ヘッダの値を「User ID」
として使用するようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題21:
「urlfcIFX.ini」の文字列でセミコロン「;」の後に等号「=」が存在する場合、
IWSS Webコンソールがこの文字列を正しく読み込めないために、ユーザが意図的に
このような編集をiniファイルに対して行った際、Webコンソール上でエラーが発生
し、正しく表示できない問題
IWSS Webコンソールが等号を読み込んだ際に、IWSSは等号の前の文字列をキーの
名称として認識します。IWSSではセミコロンを含むキーの名称は無効であるため、
たとえば「;XXX」のような先頭の文字がセミコロンであるキーを読み込めません。
修正21:
本Patchの適用後は、IWSSがセミコロンから始まる行を注釈行としてスキップ
するようになります。これにより、Webコンソールが正しく表示されるようになり
ます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題22:
エンコードされたパスワードの長さがパスワードの最大長を超えた場合に、LDAP
設定ページを保存できない問題
LDAP設定ページで入力されたパスワードはエンコードされます。しかし、このエン
コードされたパスワードの最大長は64ビットに制限されています。エンコードされ
たパスワードの長さがこの最大長を超えた場合に、LDAP設定ページを保存できませ
んでした。
修正22:
本Patchの適用後は、パスワードの最大長が256ビットに拡張されます。これに
より、IWSSに入力可能なパスワード長が増加します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題23:
En_MainプロセスがSIGPIPEシグナルにより予期せず終了する問題
修正23:
本Patchの適用後は、En_MainプロセスがSIGPIPEシグナルを無視するように変更
されます。これにより、En_MainプロセスがSIGPIPEシグナルにより予期せず終了
する問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題24:
[特定のネットワークインタフェースカードへのバインド]設定で、IPアドレスが
ホスト名に属しないインタフェースに変更された場合、IWSSサービスモニタが
リクエストの送信に失敗する問題
IWSSサービスモニタは常にホスト名が特定されているIPアドレスにリクエストを
送信します。しかし、IPアドレスがホスト名に所属しないインタフェースに
変更された場合、サービスモニタはリクエストの送信に失敗します。そのため、
この状況ではサービスモニタはトラップを異なるアドレスへ送信していました。
修正24:
本Patchの適用後は、サービスモニタの動作が変更されます。サービスモニタの
動作が、システムのホスト名に所属するインタフェースに信号を送信してサービス
ステータスを確認する方法から、実際にバインドされたインタフェースへ確認する
方法に変更されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題25:
FTPログに「ERROR: mutex for access log is not initialized」というエラー
メッセージが記録されることがある問題
修正25:
本Patchの適用後は、アクセスログファイルに対するファイルロック処理が
正しく実行されるようになり、エラーメッセージが記録されなくなります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題26:
IWSSがHTTP、FTP、管理コンソールサービスが無効の場合にもヘルスチェックを
実行する問題
修正26:
本Patchの適用後は、IWSSがヘルスチェックを実行する前にサービスの状態を確認
するようになります。これにより、サービスが無効の場合はヘルスチェックを実行
しないようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題27:
IWSSがデータベースへのログファイルのインポートに失敗する問題
IWSSはデータベースにインポートする際、URLデータに対してURLエンコードとHTML
エンコードをし、さらに1024バイトに切り詰めます。
このとき、1024バイトで切り詰めたことにより、データの最後に不完全なUnicode
が含まれてしまうため、データベースへのインポートでエラーが発生していまし
た。
修正27:
本Patchの適用後は、URLデータを1024バイトに切り詰める際にデータの最後を
チェックし、不完全なコードを含んでいた場合は取り除くように修正されました。
これにより、不完全なUnicodeによりデータベースへのインポートに失敗する問題
が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題28:
ZIPファイル内のディレクトリのサイズが「0」ではない場合に、VSAPI検索
エンジンがそのZIPファイルを検索できず、エラーコード-82(Corrupted_Zip_file)
または-76(Compressed_Huge_File)を送信する問題
修正28:
本Patchの適用後は、検索エンジンがバージョン 9.23-1005にアップデートされ
ます。これにより、フォルダの非圧縮時のサイズを確認する不要な処理が省略さ
れます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題29:
IWSSに次の脆弱性が含まれる問題
--------------------------------------------------------------------------
リモートのDoS (サービス拒否) 攻撃および情報の公開に関する脆弱性
CVE-2010-2227
複数の不具合により、Transfer-Encodingヘッダの処理中にバッファが再利用され
ていませんでした。リモート環境から攻撃者がこの不具合を利用し、その後の
要求を失敗させ、さらに要求間の情報を漏えいさせる可能性がありました。Tomcat
がApache httpd 2.2のようなリバースプロキシを利用している場合は、不正な
Transfer-Encodingヘッダは受け付けられないため、この不具合は緩和されます。
--------------------------------------------------------------------------
攻撃者がLANを利用する場合は、この脆弱性によりIWSSのWebコンソールも機能
しなくなる可能性がありました。
修正29:
本Critical Patchの適用後は、Tomcatがバージョン 5.5.31にアップデートされ、
この脆弱性が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題30:
intscan.iniファイルに対して複数のプロセスが同時に読み取り/書き込みを行う
と、IWSSデーモンが停止する可能性があり、場合によってコアダンプファイルが
生成されることがある問題
修正30:
本Patchの適用後は、intscan.iniファイルが複数のプロセスによって同時に変更
されないようにする機能が追加されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題31:
SNMP TREND-IWSS-MIB.txtに無効な情報が含まれており、さらに新しいトラップ定
義がいくつか不足している問題
修正31:
本Patchの適用後は、SNMP MIBがアップデートされ、次の無効なSNMPトラップが削
除されます。
Oid : .1.3.6.1.4.1.6101.1.8.8.1.1
Oid : .1.3.6.1.4.1.6101.1.8.8.1.2
また、次のSNMPトラップが追加されます。
Oid : .1.3.6.1.4.1.6101.1.8.8.2.5 検索コンポーネント (パターンファイル、
検索エンジン) がアップデートされた
Oid : .1.3.6.1.4.1.6101.1.8.8.2.6 サービスモニタがWebコンソールの無応答を
検出した
Oid : .1.3.6.1.4.1.6101.1.8.8.2.7 特定のシステムパフォーマンスデータ
Oid : .1.3.6.1.4.1.6101.1.8.8.2.8 パフォーマンスメトリックスが規定値を
超えた
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題32:
「interscan.ini」の値が誤っている場合、IWSSデーモンの処理によってダンプ
ファイルが生成される問題
修正32:
本Patchの適用後は、「interscan.ini」がロックされ、ダンプファイルが生成され
ないようになります。
