InterScan Web Security シリーズ Critical Patch 公開のお知らせ (2017/03/29):サポート情報 : トレンドマイクロ
InterScan Web Security シリーズ Critical Patch リリース、任意のコードをリモートで実行できる脆弱性や、HTTPレスポンスによってマルウエアが検知できない問題対応らしい
以下製品のCritical Patchを下記日程にて公開いたします。
■ 対象製品
対象製品および今回公開されるCritial PatchのBuild番号は、以下になります。
製品名/バージョン Critical Patch InterScan Web Security Suite 5.6 Windows版 build 1231 InterScan Web Security Suite 6.5 Linux版 build 1315 InterScan Web Security Virtual Appliance 6.5 Service Pack 2 build 1642 ■ 公開開始日
2017年3月29日(水)■脆弱性の概要
サポート情報 : トレンドマイクロ
悪意あるユーザが任意のコードをリモートで実行できる脆弱性
細工されたHTTPレスポンスによってマルウェアが検出されないことがある問題
※ 修正内容の詳細およびその他の修正内容につきましては、各製品のReadmeをご覧ください。
■入手方法
Download Centerから入手できます。
■導入手順
導入手順につきましては各製品のReadmeをご覧ください。
2. 修正される内容 ================= 注意: 本Patchをインストール後に、本セクションに「手順」が含まれる場合には「手 順」を実行してください (インストールについては、「5.1 インストール手順」 を参照してください)。 2.1 新機能 ========== 本Patchでは、次の新機能が提供されます。 本Patchで提供される内容について、下記の形式で記載いたします。 ------------------------------------------------ 機能: [社内管理用番号] 機能の内容 ------------------------------------------------ 機能1: [JP HotFix N/A](TT-NA) ICAPサービスで、Deep Discovery Analyzerに送信されるX-Forwarded-Forヘッダが サポートされるようになり、このヘッダを含むHTTPメールメッセージを分析用に Deep Discovery Analyzerに送信する際、元のIPアドレスをヘッダに含めて送信 するようになります。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 機能2: [EN HotFix 1721](TT-NA) IWSVA Webコンソールで、Deep Discovery InspectorとTrend Micro Control Manager (以下、Control Manager) の不審オブジェクトを取得するインタフェース が統合されるようになります。これにより、両製品から不審オブジェクトのリスト を取得し、IPアドレス、URL、ドメイン、ファイルを含めたリスト内の不審オブ ジェクトをブロックして、高度な脅威保護検索を実行できるようになります。 2.2 本Patchで修正される既知の問題 ================================= 本Patchでは、次の問題が修正されます。 本Patchで修正される内容について、下記の形式で記載いたします。 ------------------------------------------------ 問題: [HotFixファイル名](社内管理用番号) 問題の内容 修正: 修正の内容 手順: 手順の内容 ------------------------------------------------ 問題1: [JP HotFix 1598](TT-330566) 設定の複製機能において、複数の複製先サーバが登録されている場合、設定の 複製タスクが失敗することがある問題 修正1: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題2: [JP HotFix 1598](TT-325466) クライアントとプロキシサーバ間でIWSVAがブリッジモードで配置されている場 合、HTTPS Webサイトを正しく分類できないことがある問題 修正2: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題3: [JP HotFix 1598](TT-329888) IWSVAがブリッジモードである場合に、マルチキャストデータパケットが通過でき ない問題 修正3: 本Patchの適用後は、ブリッジモードの場合に「multicast_snooping」機能が無 効化され、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題4: [JP HotFix 1598](TT-334243) 設定ファイルをIWSVA 6.5 Service Pack 2にインポートすると、ローカルSmart Protection Server設定ファイルが破損する問題 修正4: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題5: [JP HotFix 1598](TT-334245) WebコンソールからローカルSmart Protection Serverを設定する際に、Smart Protection ServerのURLの記述方法が存在しない問題 修正5: 本Patchの適用後は、ローカルSmart Protection ServerのTipsに記述方法が追加 されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題6: [JP HotFix 1598](TT-NA) IWSVAが、HTTPリクエストのautorunセクションに関連した脆弱性の影響を受ける 問題 修正6: 本Patchの適用後は、IWSVAでHTTPリクエストの不正なautorunセクションが フィルタされるようになり、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題7: [JP HotFix 1598](TT-330785) 同じタイムスタンプを持つ複数の予約レポートが生成されることがある問題 修正7: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題8: [JP HotFix 1598](TT-333247) 動的なURLカテゴリ分類機能を有効にすると、TMUSEエンジンが予期せず停止する ことがある問題 修正8: 本Patchの適用後は、TMUSEエンジンがアップデートされ、この問題が修正されま す。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題9: [JP HotFix 1598](TT-336035) 設定ファイルをIWSVA 6.5 Service Pack 2にインポートすると、HTTPデーモンが 起動できないことがある問題 修正9: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題10: [JP HotFix 1598](TT-NA) IWSVAに複数のドメインがある場合に、ユーザプリンシパル名 (UPN) の認証に失敗 することがある問題 修正10: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題11: [JP HotFix 1598](TT-336907) 値の末尾にセミコロン (;) がついているCookieを解析すると、IWSVAが予期 せず停止し、ダンプファイルが生成されることがある問題 修正11: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題12: [JP HotFix 1598](TT-337279) Active Directory (AD) 設定の「ベース識別名」の組織単位 (OU) にピリオド (.) を追加して設定を保存すると、代わりに「DC=」文字列が挿入されることがある問 題 修正12: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題13: [JP HotFix 1598](TT-337061) IWSVAでHTTPデータを受信する方法によってCPU使用率が高くなることがある問題 修正13: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題14: [JP HotFix 1598](TT-338606) 「&」トークンで始まるLDAPグループに基づいてレポートが生成されると、レポー トに情報が表示されない問題 修正14: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題15: [JP HotFix 1598](TT-335781) 診断ツールのFTPダウンロードテストが失敗する問題 修正15: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題16: [JP HotFix 1598](TT-340762) HTTPS復号化機能が有効な場合に、メモリリークの問題が発生することがある問題 HTTPS復号化機能が有効な場合、IWSVAで「post_connection_check」関数が呼び出 され、サーバの証明書が確認されます。この際に、OpenSSLのメモリ解放関数が自 動的に実行されないことがあり、この問題が発生していました。 修正16: 本Patchの適用後は、IWSVAで「sk_CONF_VALUE_pop_free」関数および 「ASN1_item_free」関数が呼び出され、メモリが使用後ただちに解放されるように なり、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題17: [JP HotFix 1601](TT-336823) Tomcatのログファイル「catalina.out」がローテーションされず、時間の経過と ともに大きくなりすぎる問題 修正17: 本Critical Patchの適用後は、ログファイル用にログローテーション設定ファイル (/etc/logrotate.d/tomcat) が追加され、ログが毎日ローテーションされるように なり、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題18: [JP HotFix 1602](TT-NA) Webコンソールにランサムウェアの検出情報が表示されない問題 修正18: 本Patchの適用後は、Webコンソールのダッシュボードにランサムウェアの検出総 数が表示されるようになり、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題19: [JP HotFix 1607](TT-NA) DNSサーバから異常な応答を受信した場合に、iwssdプロセスが予期せず停止するこ とがある問題 修正19: 本Patchの適用後は、DNSサーバから異常な応答を受信した場合もiwssdプロセスが 正常に動作するようになり、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題20: [JP HotFix 1609](TT-348618) ファイルタイプブロック機能でファイルが適切にブロックされないことがある問題 この問題は、ウイルス検索エンジンでT_COMファイルが検出されると、MIMEタイプ のリマップ機能によって、ファイルがHTTPヘッダで指定されたコンテンツタイプ に従って自動的にリマップされるために発生していました。 修正20: 本Patchの適用後は、MIMEタイプのリマップ機能を無効にできるようになり、この 問題が修正されます。 手順20: MIMEタイプのリマップ機能を無効にするには、次の手順に従ってください。 1. 本HotFixをインストールします (「4.1 インストール手順」を参照)。 2. 「/etc/iscan/」フォルダにある「IWSSPIScanVsapi.dsc」ファイルを開きま す。 3. [http] セクションで「disable_mime_remapping」キーを探すか追加して、 その値を「yes」に設定します。 [http] disable_mime_remapping=yes 4. 変更を保存して、ファイルを閉じます。 5. 次のコマンドを使用して、HTTPデーモンを再起動します。 /usr/iwss/S99ISproxy stop /usr/iwss/S99ISproxy start ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題21: [JP HotFix 1609](TT-349146) 対応するデータが共通のログサーバにアップロードされていないために、管理者が 過去数日間のレポートを取得できない問題 この問題に起因して、大量の「report_log.access.*」ファイルが 「/var/iwss/log」フォルダに作成されます。 修正21: 本Patchの適用後は、アップロードキューのサイズを規制することでログ送信元 サーバ上のログエージェントでより効率的にデータを解析できるようになり、 この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題22: [JP HotFix 1609](TT-342579) IWSVAデーモンの再起動時に新しいクライアントUUIDが再生成され、元のクライ アントUUIDがDeep Discovery Analyzer (DDAN) データベースに残っているにもか かわらず、新しいIWSVAとして重複して登録される問題 修正22: 本Patchの適用後は、UUIDが一度だけ登録されるようになり、この問題が修正され ます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題23: [JP HotFix 1609](TT-348507) IWSVAのログエージェントで標準以外の形式の参照URLを解析できないことに起因し て、システムメモリ不足が発生する問題 修正23: 本Patchの適用後は、IWSVAのログエージェントで標準以外の参照URLを処理できる ようになり、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題24: [JP Critical Patch 1611](TT-338692, TT-338693, TT-338695, TT-340002) IWSVAで使用されるいくつかのAPIで、リモートコードの実行が可能になることが ある問題 修正24: 本Critical Patchの適用後は、リモートコードの実行が可能になる脆弱性の問題が 修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題25: [JP HotFix 1612](TT-350306) ウイルス検出の通知で、検出されたウイルス名が「anonymous-object」と表示され る問題 修正25: 本Patchの適用後は、正しいウイルス名が表示されるようになり、この問題が修正 されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題26: [JP HotFix 1614](TT-354384) [配信前に検索] オプションが有効な場合、コンピュータにファイルをダウン ロードすると、ダウンロードプロセスが予期せず停止し、ファイルが保存され ない問題 修正26: 本Patchの適用後は、[配信前に検索] オプションが有効な場合にダウンロードの 完了を判断する方法がアップデートされ、ファイルを正常にダウンロードできる ようになります。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題27: [JP HotFix 1615](TT-354854) 2GBを超えるファイルをFTP経由でアップロードまたはダウンロードした場合、ファ イルが破損する問題 修正27: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題28: [JP HotFix 1615](TT-354722) appdデーモンを無効に設定している場合でも、コンピュータを再起動すると、appd デーモンが自動的に有効になる問題 修正28: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題29: [JP HotFix 1619](TT-349166) プロキシ転送モードにおいてIWSVAに上位プロキシが設定されている場合、HTTPS クライアント証明書を必要とするWebサイトと正しく通信できない問題 修正29: 本Patchの適用後は、クライアント証明書を必要とするWebサイトに対して動作 しなかったIWSVAのアップストリームプロキシで問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題30: [JP HotFix 1619](TT-356985) HTTP検索ポリシーで高度な脅威検索のセキュリティホール検索の処理が有効に なっている場合、本機能での検出ログの結果がTrend Micro Control Manager上で 正しく表示されない問題 注意: HTTP検索ポリシーで高度な脅威検索のセキュリティホール検索の処理を 有効にするためには、HTTP検索ポリシーで [高度な脅威検索を有効にする] オプションが有効になっている必要があります。 修正30: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題31: [JP HotFix 1623](TT-353544) IWSVAの管理コンソールでApache Struts 1.xフレームワークを使用している問題 修正31: 本Patchの適用後は、IWSVAでStruts 1.xフレームワークを使用しないようにな り、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題32: [JP HotFix 1623](TT-357112) Webコンソールで、レポートの時間が正しく表示されない問題 修正32: 本Patchの適用後は、時間の表示形式が12時間表記から24時間表記に変更され、 この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題33: [JP HotFix 1626](TT-356197) FTPデーモンプロセス (isftpd) が異常な状態になることがある問題 この問題に起因して、以下の事象が発生することがあります。 - /var/iwss/log配下に ftp.log.*ファイルが大量に残る - isftpdプロセスがクラッシュする - FTP通信が利用できなくなる 修正33: 本Patchの適用後は、ファイルディスクリプタの処理が改善され、この問題が修 正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題34: [JP HotFix 1626](TT-358030) 古い /var/iwss/log/dtas.log.* ファイルが削除されない問題 修正34: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題35: [JP Hot Fix 1338](TT-344183) 「libhttpconn.so」が「getHostAddr」情報を取得できない場合、メモリリークが 発生することがある問題 情報の取得に複数回失敗した場合、iwssdプロセスがクラッシュしその他のアプリ ケーションまたはソフトウェアとの接続を確立する機能に影響を及ぼすことがあり ます。 修正35: 本Patchの適用後は、「libhttpconn.so」のメモリリークが修正され、この問題が 修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題36: [JP Hot Fix 1351](TT-347177) 認証局(CA)の証明書をcronジョブを使用してインポートする際、上位プロキシを使 用しない問題 修正36: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題37: [JP Hot Fix 1356](TT-348134) ライセンスの更新中に、IWSVAに接続の問題が発生することがある問題 修正37: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題38: [JP Hot Fix 1356](TT-348078) "bifconnect.sh"が実行中の場合、更新されたプロキシ設定がIWSVAで使用されない 問題 修正38: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題39: [JP HotFix 1363](TT-348556) ICAPモードで、ICAP接続を処理しているiwssdプロセスが終了した時に、ICAP接続 が切断されることがある問題 修正39: 本Patchの適用後は、最後の接続処理が完了した時、終了プロセスがICAP接続を閉 じることで、別のiwssdプロセスが新しいICAP接続を処理できるようになり、この 問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題40: [JP HotFix 1364](TT-349452) 「URLフィルタページ分析パターンファイル」をアップデートする際、 「schedule_au」プロセスがクラッシュする問題 修正40: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題41: [JP HotFix 1364](TT-346689) [解凍ファイルのサイズが次を超える場合] に設定された値が上限を超えた場合に 表示されるメッセージが正しくない問題 修正41: 本Patchの適用後は、この問題が修正されます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題42: [JP HotFix 1365](TT-347177) 認証局(CA)の証明書をcronジョブを使用してインポートする場合、上位プロキシ モードでHTTP 301ステータスコード (リダイレクション) を処理できない問題 修正42: 本Patchの適用後は、認証局(CA)の証明書を自動的にインポートして上位プロキシ モードでHTTP 301ステータスコードを処理できるようになり、この問題が修正さ れます。 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 問題43: [JP HotFix N/A](TT-358826) HotFix 1623〜1627を適用している環境で [システムステータス] ページの [HTTP トラフィック]、[FTPトラフィック] ボタンを押すとログオン画面に戻る問題 修正43: 本Patchの適用後は、この問題が修正されます。