Support Content Notification - Support Portal

CA Access Control r12.5 SP5 Version 12.55.1476 FIXLIST - Japanese

Product/Component

Notification Id

2843

Last Updated

24 May 2019

Initial Publication Date

24 May 2019

No.

Severity

Module

Problem summary

事象内容

Package

Cause of the problem

根本原因

Conditions

発生条件

Solution or workaround

解決策または回避策

Reproduction steps

再現手順

Problem ID

TestFix / PublishFix

日本語訳

UNIX Endpoint User Mode

Fixes an issue with ControlMinder on UNIX, where the product does not start after an upgrade because of ???_updates files in a PMDB.

PMDB 内にある ???_updates ファイルが原因で、アップグレード後に起動しないという、UNIX での Control Minder の問題を修正しました。

AC125SP50007

UNIX all

libacdki.so is already removed when upgrade fail due to existence of ???_updates file in a PMDB.

PMDB 内に ???_updates ファイルがあるために、アップグレード失敗時に libacdki.so はすでに削除されています。

1. Create PMDB.

1. PMDB を作成します。

2. Create "hostname_updates" file in PMDB directory.

2. "hostname_updates" ファイルを PMDB ディレクトリ内に作成します。

eg) [ACDir]/policies/PMDB/aaa_updates

例： [ACDir]/policies/PMDB/aaa_updates

=> This file can be a dummy.

このファイルはダミーでも構いません。

3. Run install_base.

3. install_base を実行します。

=> This is aborted with below message(=expected).

以下のメッセージ（=予測）が表示され、この操作は失敗します。

-----------------------

You are still updating this subscriber: aaa.

以下のサブスクライバをまだ更新中です： aaa。

You must finish updating this subscriber before upgrading, or you will lose

アップグレードを行う前に、このサブスクライバの更新を終了する必要があります。そうしないと、この更新は失敗します。

this update.

Note: You can use the -force flag to upgrade anyway.

注： -force フラグを使用してアップグレードすることもできます。

-----------------------

4. Cannot start AC by seload.

4. seload によって AC を起動できません。

Windows Endpoint User Mode

Fixes an issue with ControlMinder where generic file rule problem occurs when a specific pattern of Generic FILE rule do not work.

特定のパターンのジェネリック FILE ルールが機能しない場合に、ジェネリックファイルルールの問題が発生するという、ControlMinder の問題を修正しました。

AC125SP50015

Windows all

In a specific pattern of Generic FILE rules, FILE rules don't work as expected

特定のパターンのジェネリック FILE ルールで、FILE ルールが予測通りに機能しません。

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where an update with SPECIALPGM, PROGRAM, loginprogram and STOP using selang fails.

selang を使用した SPECIALPGM、PROGRAM、loginprogram および STOP のアップグレードに失敗するという、ControlMinder の問題を修正しました。

AC125SP50021

UNIX all

Modification and deletion of seosdb succeeds but it fails to modify or delete run-time table. You must restart AC to reload seosdb.

seosdb の変更および削除はできますが、ランタイムテーブルを変更または削除できません。seosdb を再ロードするには、AC を再起動する必要があります。

1611

T4CC116 (SUN)

T4CC117 (RH x84)

T4CC118 (RH x64)

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where a syntax error message is not displayed

構文エラーメッセージが表示されないという、ControlMinder の問題を修正しました。

AC125SP50022

UNIX all

Return "ERROR: Failed to fetch data for Class file" on the command: so class(file) flags+(w) doesn't catch syntax error

コマンドに対し "エラー: クラスファイルのデータの取得に失敗しました" を返します: そのため、class(file) flags+(w) は構文エラーをキャッチしません。

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the pmd.audit is garbled in Japanese.

日本語環境で pmd.audit が文字化けするという、ControlMinder の問題を修正しました。

AC125SP50023

Windows all

1. Create PMDB

1. PMDB を作成します。

2. Add the subscriber

2. サブスクライバを追加します。

> subs pmdb subs(subscriber)

3. Check pmd.audit

3. pmd.audit をチェックします。

> seaudit -a -fn pmd.audit

4. You will see code 338 is garbled.

4. コード 338 が文字化けして表示されます。

Windows Endpoint User Mode

Fixes an issue with ControlMinder where SegraceW fails to connect to a remote ControlMinder endpoint even when defenc.dll is located on current directory.

defenc.dll が現行ディレクトリにある場合でも、SegraceW がリモート ControlMinder エンドポイントへの接続に失敗するという、ControlMinder の問題を修正しました。

AC125SP50029

Windows all

SegraceW fails to find defenc.dll where "Encryption Package" is not defined (i.e. AC is not installed).

SegraceW が、"暗号化パッケージ" が定義されていない（つまり、AC がインストールされていない） defenc.dll の検出に失敗します。

SegraceW is run on a standalone.

SegraceW がスタンドアロンで実行されています。

Add Reg value "Encryption Package" in HKLMSOFTWAREComputerAssociatesAccessControl and defined the encryption package.

HKLMSOFTWAREComputerAssociatesAccessControl に Reg 値 "Encryption Package" を追加し、暗号化パッケージを定義します。

UNAB

Fixes an issue with UNAB where the build number is not included in the computer description attribute created during registration.

登録時に作成されるコンピュータ記述属性にビルド番号が含まれないという、UNAB の問題を修正しました。

AC125SP50033

UNIX all

UNIX Endpoint User Mode

Fixes an issue with ControlMinder on UNIX, where the ldap token values in the seos.ini file were missing after upgrade.

アップグレード後に seos.ini ファイル内の ldap トークン値が失われるという、UNIX での ControlMinder の問題を修正しました。

AC125SP50034

UNIX all

Tokens ldap_xxx in seos section are not copied from original seos.ini

seos セクションにあるトークン ldap_xxx が元の seos.ini からコピーされません。

1. Defined tokens ldap_xxx in seos section

1. seos セクションでトークン ldap_xxx を定義します。

2 .Upgrade AC

2 .AC をアップグレードします。

3. Tokens ldap_xxx in seos.ini are not inherited

3. seos.ini にあるトークン ldap_xxx が継承されません。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the install log file records CCI error when installing on Linux390x.

Linux390x へのインストール時に、インストールログファイルに CCI エラーが記録されるという、ControlMinder の問題を修正しました。

AC125SP50039

Linux s390x

1.Install the latest R12.5 SP5 Build using Install Base

1. Install Base を使用して、最新の R12.5 SP5 ビルドをインストールします。

2.Grep -i error /opt/CA/AccessControl/AccessControl_install.log

2. -i error /opt/CA/AccessControl/AccessControl_install.log を Grep します。

3.Getting Error Message "Failed to install CCISA"

3. "CCISA のインストールに失敗しました" というエラーメッセージが表示されます。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where *.tmp files are left in /etc/security on AIX 6.

AIX 6 で *.tmp ファイルが /etc/security に残るという、ControlMinder の問題を修正修正しました。

AC125SP50042

AIX 6

Tmp files not deleted.

Tmp ファイルが削除されません。

1618

TC61144

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where file path that seaudit shows is corrupted when bypass_realpath is enabled.

bypass_realpath が有効になっている場合に、seaudit によって表示されるファイルパスが破損しているという、ControlMinder の問題を修正しました。

AC125SP50046

HP-UX

1. Path name was not null terminated

1. パス名が NULL 終了ではありませんでした。

set 1 to token bypass_realpath

1 をトークン bypass_realpath に設定します。

Set 0 to token bypass_realpath

0 をトークン bypass_realpath に設定。

2. Used lookuppn() returned value that is last component of the path name

2. パス名の最後のコンポーネントである lookuppn() リターン値を使用しました。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where ldap section tokens in the seos.ini are not copied on upgrade.

アップグレード時に seos.ini 内の ldap セクショントークンがコピーされないという、ControlMinder の問題を修正しました。

AC125SP50047

UNIX all

Tokens ldap_xxx in seos section are not copied from original seos.ini

seos セクション内のトークン ldap_xxx が元の seos.ini からコピーされません。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where secons -CD goes into an infinite loop under certain situation.

ある条件において secons -CD が無限ループに入るという、ControlMinder の問題を修正しました。

AC125SP50049

UNIX all

"rec userd" is not cleared while file records are when the period cache erasing is called. secons -CD goes into an infinite loop as "rec userd" and actual recoreds differ.

期間キャッシュ消去のコール時に、ファイルレコードは存在しますが、"rec userd" はクリアされません。"rec userd" と実際のレコードが相違するため、secons -CD は無限ループに入ります。

The period cache erasing is called after file activities is cached.

ファイルアクティビティのキャッシュ後、期間キャッシュ消去がコールされます。

1. Set 1(minute) to token FileCache_CleanInt

1. トークン FileCache_CleanInt を 1（分）に設定します

(this will shorten the period to reproduce)

（これによって、複製時間が短縮されます）。

2. Performe file access that goes to file handle

2. ファイルハンドルに至るファイルアクセスを実行します。

3. Check the activity is cached by secons -CD. "rec userd" is increased and the file names apper. Please try to create more that 2 records.

3. アクティビティが secons -CD によってキャッシュされていることを確認します。"rec userd" が増え、ファイル名が表示されます。3 以上のレコードの作成を試行してください。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where Linux stops responding when running secons -sk.

secons -sk の実行時に Linux が応答を停止するという、ControlMinder の問題を修正しました。

AC125SP50055

Linux x86

Conversion specifiers of fino and f_sz for snprintf are not correct.

snprintf に対する fino および f_sz の変換指定子が正しくありません。

Run secons -kt 2 on LINUX X86

LINUX X86 で secons -kt 2 を実行します。

1. Install AC on LINUX x86

1. AC を LINUX x86 にインストールします。

2. start AC run secons -sk 2 -=^fatal exception in eac_TrustPg_prec()

2. eac_TrustPg_prec() で AC run secons -sk 2 -=^fatal exception を起動します。

Windows Endpoint User Mode

Fixes an issue with ControlMinder on Windows, where defining TERMINAL rule that contains an IPv4 IP address results in selang failure to connect to seosdb.

IPv4 アドレスを含む TERMINAL ルールを定義すると、selang を使用した seosdb への接続に失敗するという、Windows での ControlMinder の問題を修正しました。

AC125SP50056

Windows all

getaddrinfo could return IPv6 IP address on mixtured env. Hence TERMINAL in IPv4 IP address does not match.

混在環境において、getaddrinfo が IPv6 の IP アドレスを返す場合があります。従って、IPv4 の IP アドレスでの TERMINAL と一致しません。

IPv4 and v6 mixtured(like Windows 2008). TERMINAL is defiend in IPv4 IP address only. Token TerminalSearchOrder is name or IP.

IP v4 と v6 が混在しています（Windows 2008 と同様）。 TERMINAL は IPv4 の IP アドレスでのみで定義されています。トークン TerminalSearchOrder は名前または IP です。

Define TERMINAL by hostname

ホスト名で端末を定義します。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where due to memory leak in seosd, system hangs when seosd reaches system maximum of 1GB

seosd でのメモリリークが原因で、seosd がシステムの最大値である 1GB に達するとシステムがハングするという、ControlMinder の問題を修正しました。

AC125SP50057

UNIX all

Memory leak in seosd, the system hangs when seosd reaches system maximum of 1GB.

seosd でのメモリリークにより、seosd がシステムの最大値である 1GB に達すると、システムがハングします。

This package adds functionality to AC watchdog. The watchdog will monitor size of seosd and will restart seosd if seosd process size is too big.

このパッケージは、AC watchdog に機能を追加します。 watchdog は seosdn のサイズを監視し、seosd プロセスのサイズが大きくなりすぎると、seosd を再起動します。

1612

TC61133

UNIX Endpoint Kernel Mode

Fixes an issue where ControlMinder cannot extract the zone prefix for files located on internally mounted zones. As a result ControlMinder uses the program full real path on real root file system. As a result, ControlMinder ignores file or program rules defined relatively to zone root.

内部的にマウントされたゾーンにあるファイルのゾーンプレフィクスを抽出できないという、ControlMinder の問題を修正しました。結果として、ControlMinder は実ルートファイルシステム上でプログラムのフル実パスを使用します。結果として、ControlMinder はゾーンルートに対して相対的に定義されているファイルまたはプログラムルールを無視します。

AC125SP50058

Solaris zones

Solaris loopback mount allows mounting of zone folders to global zone folder. Such mounted full path does not consist of full zone path. For example: full path is /export/zone/au6omzzta08_apps/opt/seos/bin/selang zone root is /export/zone/au6omzzta08/root Function SEOS_del_zone_root() is not able to cut off zone prefix

Solaris のループバックマウントでは、ゾーンフォルダのグローバルゾーンフォルダへのマウントが可能です。このようにマウントされたフルパスは、フルゾーンパスで構成されていません。例：フルパスは /export/zone/au6omzzta08_apps/opt/seos/bin/selang、ゾーンルートは /export/zone/au6omzzta08/root Function、SEOS_del_zone_root() はゾーンプレフィクスを切り離せません。

Solaris 10 zone has loopback mounts

Solaris 10 ゾーンにループバックマウントがあること。

AC name resolver should save loopback mount points and cut off mount path for programs running in internal zone

AC ネームリゾルバはループバックマウントポイントを保存し、内部ゾーンで実行されるプログラムのマウントパスを遮断する必要があります。

In global zone do like this: =^ mkdir /zone1/z1_app =^ mkdir /zone1/root/app =^ mount -o ro -F lofs /zone1/z1_app /zone1/root/app =^ echo test =^ /zone1/root/app/test Internals zone z1: # ls /app/test /app/test # start AC # start AC trace # cat /app/test ==^ shows full path including zone prefix "/zone1/root/app/test"

グローバルゾーンで、以下のようにします。 =^ mkdir /zone1/z1_app =^ mkdir /zone1/root/app =^ mount -o ro -F lofs /zone1/z1_app /zone1/root/app =^ echo test =^ /zone1/root/app/test Internals zone z1: # ls /app/test /app/test # start AC # start AC trace # cat /app/test ==^ は、ゾーンプレフィクス "/zone1/root/app/test" を含む、フルパスを示しています。

1619

T3DB067

UNAB

Fixes an issue with UNAB where the Computers group list is empty when running uxconsole -manage command.

uxconsole -manage コマンドの実行時に Computers グループリストが空になるという、UNAB の問題を修正しました。

AC125SP50059

UNIX all

1.Create a user in AD that is a member of Unix groups and non-unix groups

1. AD 内で、Unix グループおよび Unix 以外のグループのメンバであるユーザを作成します。

2.uxconsole -manage -show -user nitya -detail

2. uxconsole -manage -show -user nitya -detail

Windows Endpoint Kernel Mode

Fixes an issue with ControlMinder where an incoming port is blocked by WFP(Windows Firewall Protection), but the connection to that port is not blocked and completed.

受信ポートが WFP（Windows Firewall Protection）によってブロックされるが、このポートへの接続はブロックされず完了するという、ControlMinder の問題を修正しました。

AC125SP50060

Windows all

1. Copy and paste mistake at interception processing

1. インターセプト処理時のコピー & ペーストミス。

1.Install AC on Windows 2008 system 2.Reboot and define blocking rule in build-in windows firewall 3.Test the firewall rule - check that it's not working. 4.Unload AC( secons -s, net stop seosdrv, net stop drveng - order is IMPORTANT ). 5.Test the firewall rule again - now it's working 6.Restart AC( net start drveng, seosd -start, order IMPORTANT ) 7.Test AC network interception - it's not working.

1. AC を Windows 2008 システムにインストールします。 2. リブートし、組み込み Windows ファイアウォールにブロッキングルールを定義します。 3. ファイアウォールルールをテストします - 機能していないことを確認します。 4. AC をアンロードします（ secons -s, net stop seosdrv, net stop drveng - この順番は重要です）。 5. ファイアウォールルールを再度テストします - 今回は、機能しています。 6. AC を再起動します（ net start drveng, seosd -start - この順番は重要です）。 7. AC ネットワークインターセプトをテストします - 機能していません。

517

T5P7069

2. Incorrect processing of interception setup at driver reload

2. ドライバ再ロード時の、インターセプトセットアップの不正な処理。

UNAB

Fixes an issue with UNAB where migration does not properly support SFU.

移行において SFU が適切にサポートされないという、UNAB の問題を修正しました。

AC125SP50061

UNIX all

1> Create Unix user and add it to a unix group

1> UNIX ユーザを作成し、それを UNIX グループに追加します。

2> Create a partial user with unix attributes in AD.

2> AD で、UNIX 属性を持つ部分ユーザを作成します。

3> Migrate groups using the command:

3> 以下のコマンドを使用して、グループを移行します。

4> /opt/CA/uxauth/bin/uxconsole -migrate -groups -scope l -mode f -v 5

5> Notice that migration does not supported SFU.

5> 移行において SFU がサポートされない点に注意してください。

UNAB

Fixes an issue with UNAB where a memory leak occurs in seosd when it contacts UNAB using API.

seosd が API を使用して UNAB にアクセスする際に、seosd でメモリリークが発生するという、UNAB の問題を修正しました。

AC125SP50063

UNIX all

1. The UNAB API verifies if UNAB has set up locale, it is used to set up even if UNAB was previously setup (without free of the old locale that may be set up from the previous call).
2. If UNAB searches for AD groups for a user and finds no groups, then do not free the STRLIST it allocated as it is empty (but it still has a header). Empty STRLIST groups are created in api_get_user_wingrps when AD user is not member of any group. Free STRLIST even it is empty.

1. UNAB API は、UNAB がロケールをセットアップしたか、UNAB が以前セットアップされた場合でも、ロケールがセットアップに使用されているか確認します（前のコールでセットアップされている可能性のある古いロケールを解放せずに）。
2. UNAB は AD グループでユーザを検索し、グループが見つからない場合、空である（しかし依然ヘッダがある）が、STRLIST を解放しません。 AD ユーザがどのグループのメンバでもない場合、api_get_user_wingrps で空の STRLIST グループが作成されます。空であっても、STRLIST を解放します。

AC running with seos.ini setup that cause it to look for UNAB

AC が UNAB を検索する seos.ini セットアップで実行されている AC。

Close the UNAB tokens in seos.ini so it will not call the API

seos.ini で UNAB トークンをクローズし、seos.ini が API をコールしないようにします。

1. Run seosd with purify.
2. Open the UNAB related tokens in the ini and surrogate or login with an AD user that exist in AC.
3. For second leak create AD user and ensure that it has no Windows groups and login with it to the system. We recommend you to use the Valgrind product on a Linux system instead.

1. purify で seosd を実行します。
2. ini で UNAB 関連トークンを開き、AC に存在する AD ユーザの代理実行を行うか、そのユーザとしてログインします。
3. 2 番目のリークについては、AD ユーザを作成し、そのユーザに Windows グループがないことを確認して、そのユーザとしてシステムにログインします。 Linux では、代わりに Valgrind 製品を使用することをお勧めします。

1623

T5P7070

UNAB

Fixes an issue with UNAB where a memory leak occurs in seosd when it contacts UNAB.

seosd が UNAB にアクセスする際に、seosd でメモリリークが発生するという、UNAB の問題を修正しました。

AC125SP50065

UNIX all

1623

T5P7070

UNAB

Fixes an issue with UNAB where memory leak occurs.

メモリリークが発生するという、UNAB の問題を修正しました。

AC125SP50067

Linux all

ldap_unbind was not called when ldap_sasl_interactive_bind_s terminated in thread function due to lifetime expiration.

ライフタイムの失効により、スレッドファンクションで ldap_sasl_interactive_bind_s が終了した際に、ldap_unbind がコールされませんでした。

Unix Endpoint User Mode

Fixes an issue with ControlMinder where the .pmd_error file is not included in the backup file names.

.pmd_error ファイルがバックアップファイル名に含まれないという、ControlMinder の問題を修正しました。

AC125SP50068

UNIX all

The hidden file .pmd_error is NOT included in "sepmd -bd pmdb /work/backup".

隠しファイル .pmd_error は、"sepmd -bd pmdb /work/backup" に含まれません。

Use "sepmd -bd pmdb /work/backup" to reproduce the problem.

"sepmd -bd pmdb /work/backup" を使用して、問題を再現します。

Add .pmd_error to the file list.

.pmd_error をファイルリストに追加します。

1. Create a pmdb. # sepmdadm -i

1. pmdb. # sepmdadm -i を作成します。

2. start up all the daemons and run this command. # sepmd -bd pmdb /work/backup All files in /opt/CA/AccessControl/policies/pmdb are backed up to /work/backup.

2. すべてのデーモンを起動し、以下のコマンドを実行します。 # sepmd -bd pmdb /work/backup。 /opt/CA/AccessControl/policies/pmdb 内のすべてのファイルが、/work/backup にバックアップされます。

3. There is one hidden file .pmd_error is not coped to /work/backup. # cd /opt/CA/AccessControl/policies/pmdb # ls -al .pmd_error (the file is there.) # cd /work/backup # ls -al .pmd_error (the file is not there.)

3. .pmd_error が /work/backup にコピーされない隠しファイルが 1 つあります。 # cd /opt/CA/AccessControl/policies/pmdb # ls -al .pmd_error（ファイルはそこにあります）。 # cd /work/backup # ls -al .pmd_error（ファイルはそこにありません）。

Windows Endpoint User Mode

Fixes an issue with ControlMinder where CONSENT.EXE is missing from the registry value ApplyOnProcess after upgrading from 12.5SP2.

12.5SP2 からのアップグレード後に、CONSENT.EXE がレジストリ値 ApplyOnProcess に見つからないという、ControlMinder の問題を修正しました。

AC125SP50071

Windows all

Handling in case of 64 bit was missing in MergePlgApplyOnProcesss

MergePlgApplyOnProcesss に 64 ビットがない場合の処理。

64 bit box upgrade from old release that does not have CONSENT.EXE by default

デフォルトで CONSENT.EXE を持たない古いリリースからの 64 ビットボックスのアップグレード。

Add CONSENT.EXE to .InstrumentationPlugInsRunAsPlgApplyOnProcess by reg editor after upgrade

アップグレード後に、レジストリエディタで CONSENT.EXE を .InstrumentationPlugInsRunAsPlgApplyOnProcess に追加します。

1.install AC 12.5SP2 on x64

1.x64 に AC 12.5SP2 をインストールします。

2.verify the value of ApplyOnProcess has no consent.exe. This is ok for SP2 HKLMSOFTWAREComputerAssociatesAccessControlInstrumentationPlugInsRunAsPlg ApplyOnProcess=runas.exe explorer.exe 3.upgrade AC 12.5SP4 4.verify consent.exe is added to ApplyOnProcess. SP4 does not add it. This is a problem.

2. ApplyOnProcess の値に consent.exe がないことを確認します。SP2 の場合、これは OK です。 HKLMSOFTWAREComputerAssociatesAccessControlInstrumentationPlugInsRunAsPlg ApplyOnProcess=runas.exe explorer.exe 3. AC 12.5SP4 をアップグレードします。 4. consent.exe が ApplyOnProcess に追加されていることを確認します。SP4 では、追加されません。これは、問題です。

UNIX Endpoint Kernel Mode

Fixes an issue where ControlMinder fails to install on Linux 5.5 Enterprise because the redhat_release file has been manually modified causing ControlMinder kernel module not to be found.

Linux 5.5 Enterprise への ControlMinder のインストールに失敗するという問題を修正しました。この問題は、redhat_release ファイルが手動で変更されたため、ControlMinder カーネルモジュールが見つからなくなることが原因で発生します。

AC125SP50074

Linux

redhat_release file has been manually modified causing AC kernel module cannot be found

redhat_release ファイルが手動で変更されたため、AC カーネルモジュールが見つかりません。

Access Control fails to start on OEL 5.5 where redhat_release file has been manually modified to contain "Carthage" instead of "Tikanga".

"Tikanga" ではなく "Carthage" を含めるために、redhat_release ファイルが手動で変更されている OEL 5.5 で、Access Control の起動に失敗します。

1625

T540064

UNIX Endpoint Kernel Mode

Fixes an issue where ControlMinder is not linking to the correct kernel module when using install_base and native packages to install the product.

製品のインストールに install_base およびネイティブパッケージを使用すると、ControlMinder が適切なカーネルモジュールにリンクされないという問題を修正しました。

AC125SP50081

Linux 6.1

Install AC with install_base and native package.

install_base およびネイティブパッケージを使用して、AC をインストールします。

UNAB

Fixes an issue with UNAB where memory leak occurs when the user maps and executes UNAB stress.

ユーザが UNAB ストレスをマップし実行すると、メモリリークが発生するという、UNAB の問題を修正しました。

AC125SP50082

UNIX all

In uxauth_get_naming_contexts() free LDAPMessage *res abd use ldap_get_values instead of get_ldap_attribute.

uxauth_get_naming_contexts() で、LDAPMessage *res を解放し、get_ldap_attribute ではなく ldap_get_values を使用する。

1. Execute a mapping and migration of unab user to AD

1. unab ユーザの AD へのマッピングおよび移行を実行します。

2. Execute stress for the mapped user

2. マップされているユーザに対して、ストレスを実行します。

./eacLotsOfSSH -n localhost -p map -r 10 -t 500 -i 4-4 -m pts/6 -s 180

3. Execute stress of many different users as well simultaneously

3. 多数の異なるユーザに対して、ストレスを同時に実行します。

4.check memory leak

4. メモリリークを確認します。

top -p <pid of uxauthd>

Windows Endpoint User Mode

Fixes an issue where seosd terminates after starting ControlMinder when there are 109 or more TRACE entries in the audit.cfg file.

audit.cfg ファイルに 109 以上の TRACE エントリがある場合に、ControlMinder の起動後、seosd が終了するという問題を修正しました。

AC125SP50085

Windows all

Hard limit is too small.

ハードの制限が小さすぎます。

Add 109 lines of rules in audit.cfg.

109 行のルールを audit.cfg に追加します。

Please apply the fix seosd.exe or have a less rules in audit.cfg.

修正プログラム seosd.exe を適用するか、audit.cfg 内のルールを減らしてください。

1. stop AC

1. AC を停止します。

520

T243783

> secons -s

2. add 109 or more TRACE entry in audit.cfg

2. 109 以上のエントリを audit.cfg に追加します。

I added following same 109 entries

以下の同じ 109 エントリを追加しました。

TRACE;*;*;*;*;*;*;*

3. start AC

3. AC を起動します。

> seosd -start

Unix Endpoint User Mode

Fixes an issue with ControlMinder where with keyboard logger enabled, command "who -u" showed the same tty for two different users.

キーボードロガーが有効な状態でコマンド "who -u" を実行すると、異なる 2 つのユーザに対して同じ tty が表示されるという、ControlMinder の問題を修正しました。

AC125SP50086

Linux

cmdlog checks utbuf-=^utmp_err, when it is not 0 it does not send logout event to agent and agent does not erase utmp line

cmdlog は utbuf-=^utmp_err をチェックします。0 でない場合、ログアウトイベントはエージェントに送信されず、エージェントは utmp 行を消去しません。

KBL

function kbl_utmp_set_login() set utbuf-=^utmp_err = rv = 0;

ファンクション kbl_utmp_set_login() を以下に設定 utbuf-=^utmp_err = rv = 0;

1570

AC 12.5 SP3, version 12.53.0.1813, tar files:

T3DB055 (Linux x86_64), T3DB056 (Linux ia64), T3DB057 (AIX),

T3DB058 (Solaris SPARC),T3DB060 (HPUX ia64), T3DB066 (Linux x86_32)

AC 12.5SP5, version 12.55.0.1036, tar files:

T3DB071(Linux x86_32), T3DB072(Linux x64), T3DB073(Linux IA64), T3DB074(AIX)

T3DB075(Solaris SPARC), T3DB076(HPUX RISC), T3DB077(HPUX IA64)

Unix Endpoint User Mode

Fixes an issue where ControlMinder fails to install on Enterprise Linux 5.5

Enterprise Linux 5.5 への ControlMinder のインストールに失敗するという問題を修正しました。

AC125SP50088

LINUX all

Could not find specific kernel module SEOS_syscall.5.5eASX86_64.MP.ko

特定のカーネルモジュール SEOS_syscall.5.5eASX86_64.MP.ko を検出できませんでした。

1625

T540064

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the SEOS_load fails.

SEOS_load が失敗するという、ControlMinder の問題を修正しました。

AC125SP50090

Solaris

The AC script SEOS_load searches "seos" device using the search string "seos" in the system configuration. Different device names confuse SEOS_load script. The script assumes that a device exists and tries updating it.

AC スクリプト SEOS_load は、システム設定で、検索文字列 "seos" を使用して "seos" デバイスを検索します。デバイス名が異なると、SEOS_load スクリプトが混乱します。スクリプトはデバイスが存在すると見なし、その更新を試みます。

Solaris 10 + SEOS_use_ioctl

Make more strict search, use pattern "/pseudo/seos" instead of "seos"

より厳密な検索を行う、"seos" ではなくパターン "/pseudo/seos" を使用します。

Unix Endpoint User Mode

Fixes an issue with ControlMinder where native users could not login when pam_seos.so is configured before the pan_unix.so authentication module.

pan_unix.so 認証モジュールより前に pam_seos.so が設定されている場合、ネイティブユーザがログインできないという、ControlMinder の問題を修正しました。

AC125SP50092

LINUX all

1. Login failures for native users when pam_seos.so is defined prior to the

1. 環境で、pam_unix.so auth より前に pam_seos.so が定義されている場合の、ネイティブユーザのログイン失敗。

1632

TC61167

pam_unix.so auth module in environment.

2. Configuration of PAM file at install time which will take VAS' peculiar

2. インストール時の PAM ファイルの設定。この設定では、VAS の固有の PAM 設定が考慮されますが、依然として pam_seos が pam_unix の後に配置されます。

PAM configuration into account and still place pam_seos after pam_unix.

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the "Execute" access mode of non-setuid/setgid program is checked by the FILE class in r8.0 SP1, but not in r12.5.

FILE クラスによる setuid/setgid 以外のプログラムの "Execute" アクセスモードのチェックが、r8.0 SP1 では行われるが r12.5 では行われないという、ControlMinder の問題を修正しました。

AC125SP50093

UNIX all

Check of trusted program by FILE class is skipped in the PROGRAM handle.

FILE クラスによる trusted プログラムのチェックが、PROGRAM ハンドルでスキップされます。

A program is defined by PROGRAM and FILE not a setuid/setgid program

プログラムが定義されるのは PROGRAM クラスおよび FILE クラスによってであり、setuid/setgid プログラムによってではありません。

1572

T4CC107

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the console login hangs and RDP Login fails.

コンソールログインがハングし、RDP ログインが失敗するという、ControlMinder の問題を修正しました。

AC125SP50094

Windows all

In case of seosd is in long term timeout ( recovery, termination. crash ), the Subauthentication thread waiting WaitingTimeout = INFINITE for respond from seadmapi_IsServerRunning() locks other threads resulting to getting stuck further logons.

seosd が長時間タイムアウト（リカバリ、終了、クラッシュ）している場合に、WaitingTimeout = INFINITE で seadmapi_IsServerRunning() からの応答を待機しているサブ認証スレッドは、他のスレッドをロックし、その結果、それ以上のログオンがスタックされます。

Resolved by assignment global Waitingtimeout to Registry value LogonTimeOut or default 4sec.

グローバル Waitingtimeout をレジストリ値 LogonTimeOut またはデフォルトの 4 秒に割り当てることで、解決できます。

521

T5P7074

Unix Endpoint User Mode

Fixes an issue with ControlMinder where sepmd -bd <pmdb> <dest> causes error and then files in pmdb directory become 0 byte if <dest> is './'.

<dest> が './' の場合に、sepmd -bd <pmdb> <dest> によってエラーが発生し、pmdb ディレクトリ内のファイルが 0 バイトになるという、ControlMinder の問題を修正しました。

AC125SP50098

UNIX all

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where do_as hangs on Linux s390x

Linux s390x 上で do_as がハングするという、ControlMinder の問題を修正しました。

AC125SP50099

Linux s390x

The count on files is being incremented with get_file and decremented with atomic_dec. On 2.6.27 and later kernels, the atomic type changed from atomic_t to atomic_long_t and requires atomic_long_dec to decrement properly. On X64 and Itanium and x86, this was not a problem because of the the byte ordering. s390x uses big endian ordering so using the wrong decrement changed the high order portion instead of the low order, so this only showed up on s390x.

ファイルのカウントは get_file によって増分され、atomic_dec によって減分されます。2.6.27 以降のカーネルでは、アトミックタイプが atomic_t から atomic_long_t に変更され、atomic_long_dec が適切に減分される必要があります。X64、Itanium、および x86 では、バイト順序によって、これは問題にはなりません。s390x ではビッグエンディアンによる順序が使用されるため、間違った減分を使用すると、順番の低位ではなく高位が変更され、s390x でのみこの問題が発生することになります。

Following expect script causes the session to hang #!/usr/local/bin/expect -- puts start if [ catch { exec /usr/local/bin/do_as root ls } res ] { puts error } puts end

以下の予想スクリプトによって、セッションがハングします。 #!/usr/local/bin/expect -- puts start if [ catch { exec /usr/local/bin/do_as root ls } res ] { puts error } puts end

Windows Endpoint User Mode

Fixes an issue with ControlMinder where a user who logs in and disconnects using a RDP session receives the same session id. seosd does not log off the user from the session.

RDP セッションを使用してログインし、接続解除するユーザが同じセッション ID を受け取るという、ControlMinder の問題を修正しました。seosd によってユーザはセッションからログオフされません。

AC125SP50102

Windows all

Save a list of disconnect session in seosd memory. In case the user is not authorized to login, search in the disconnect session list, if found then disconnect the user from the RDP session instead of logoff.

切断セッションのリストを seosd メモリに保存します。ユーザにログイン権限がない場合、切断セッションリストを検索します。見つかった場合、ユーザをログオフする代わりに、RDP セッションから切断します。

1) Create User in AC 2) Authorize the user to connect from terminal A. 3) Unauthorize the user to connect from terminal B. 4) Connect from terminal A using RDP. 5) Disconnect the RDP session. 6) Connect from terminal B using RDP. 7) The user will be logged off from both sessions.

1) AC でユーザを作成します。 2) ユーザに端末 A からの接続を許可します。 3) ユーザの端末 B からの接続を拒否します。 4) RDP を使用して、端末 A から接続します。 5) RDP セッションを接続解除します。 6) RDP を使用して、端末 B から接続します。 7) ユーザは、両方のセッションからログオフされます。

523

T243792 ----> Win. X86 8.0 sp1

T243793 ----> Win. x64 8.0 sp1

T243794 ----> Win. IA64 8.0 sp1

T243795 ----> Win. X86 12.5 sp1

T243796 ----> Win. X64 12.5 sp1

T243797 ----> Win. IA64 12.5 sp1

T243798 ----> Win. X86 12.5 sp2

T243799 ----> Win. X64 12.5 sp2

T243800 ----> Win. IA64 12.5 sp2

T243801 ----> Win. X86 12.5 sp3

T243802 ----> Win. X64 12.5 sp3

T243803 ----> Win. IA64 12.5 sp3

T243804 ----> Win. X86 12.5 sp4

T243805 ----> Win. X64 12.5 sp4

T243806 ----> Win. IA64 12.5 sp4

T243807 ----> Win. X86 12.0 sp1 CR1

T243808 ----> Win. X64 12.0 sp1 CR1

T243809 ----> Win. IA64 12.0 sp1 CR1

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where seagent causes system panic on SLES 11SP1 x64 on startup.

SLES 11SP1 x64 で、起動時に seagent によってシステムパニックが発生するという、ControlMinder の問題を修正しました。

AC125SP50103

SLES 11SP1 x64

Syscall intercepted via 32-bit syscall table tries to execute the 64-bit original syscall function that is not yet set and leads to system panic.

32 ビット syscall テーブルによってインターセプトされた syscall がまだ設定されていない 64 ビットの元の syscall ファンクションを実行しようとして、システムパニックが発生します。

The solution is to hook the 64-bit syscall table before 32-bit syscall table. The workaround is to install 64-bit version of AC.

ソリューションとしては、32 ビット syscall テーブルより前に 64 ビット syscall テーブルをフックします。ソリューションとしては、AC の 64 ビットバージョンをインストールします。

Install AC on an X64 SLES 11 SP1 system and set AC to start automatically. Then reboot the system repeatedly, this may cause the system to crash.

X64 SLES 11 SP1 システムに AC をインストールし、自動的に起動するように AC を設定します。次にシステムを繰り返しリブートすると、システムがクラッシュする場合があります。

1636

T3E7134

Windows Endpoint User Mode

Fixes an issue with ControlMinder where a user who logs in and disconnects using a RDP session receives the same session id. The user is not log off from the session.

RDP セッションを使用してログインし、接続解除するユーザが同じセッション ID を受け取るという、ControlMinder の問題を修正しました。ユーザはセッションからログオフされません。

AC125SP50104

Windows all

523

T243792 ----> Win. X86 8.0 sp1

T243793 ----> Win. x64 8.0 sp1

T243794 ----> Win. IA64 8.0 sp1

T243795 ----> Win. X86 12.5 sp1

T243796 ----> Win. X64 12.5 sp1

T243797 ----> Win. IA64 12.5 sp1

T243798 ----> Win. X86 12.5 sp2

T243799 ----> Win. X64 12.5 sp2

T243800 ----> Win. IA64 12.5 sp2

T243801 ----> Win. X86 12.5 sp3

T243802 ----> Win. X64 12.5 sp3

T243803 ----> Win. IA64 12.5 sp3

T243804 ----> Win. X86 12.5 sp4

T243805 ----> Win. X64 12.5 sp4

T243806 ----> Win. IA64 12.5 sp4

T243807 ----> Win. X86 12.0 sp1 CR1

T243808 ----> Win. X64 12.0 sp1 CR1

T243809 ----> Win. IA64 12.0 sp1 CR1

UNIX Endpoint User Mode

Fixes an issue where ControlMinder does not start on HP-UX 11.11 32-bit PA-RISC 1.1 system.

HP-UX 11.11 32 ビット PA-RISC 1.1 システム上で ControlMinder が起動しないという問題を修正しました。

AC125SP50105

HP-UX

AC components are not PA-RISC 1.1 compatible.

AC コンポーネントは、PA-RISC 1.1 互換ではありません。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where SSH <cmd> shows as 0.0.0.0 in FILE audit - Linux.

FILE audit - Linux で SSH <cmd> が 0.0.0.0 と表示される、ControlMinder の問題を修正しました。

AC125SP50106

LINUX all

1) Test on Linux.

1) Linux でテストします。

1633

TC61172

2) Start AC.

2) AC を起動します。

3) AC> nf /usr/bin/df owner(nobody) audit(all) defacc(all)

4) AC> nu test01 password(123) grace-

5) ssh-l test01 0 df -h

6) See the host name in FILE audit for /usr/bin/df and see that it does

6) /usr/bin/df の FILE audit でホスト名を表示し、0.0.0.0 ではないことを確認します。

NOT say 0.0.0.0

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where unexpected error occurs when synchronize_fork is set to 1.

synchronize_fork が 1 に設定されている場合に予期しないエラーが発生するという、ControlMinder の問題を修正しました。

AC125SP50107

Linux x64

AC because session has lost its' AC user identity

AC。セッションがその AC ユーザ ID を紛失したため。

1642

TC61175 (Linux X86 32 bit), TC61176 (Linux X86_64 64 bit)

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where if a user name is longer than 8 characters, the user name is truncated.

ユーザ名が 8 文字を超えている場合に、ユーザ名のトランケートが発生するという、ControlMinder の問題を修正しました。

AC125SP50109

AIX

1.Install AC

1. AC をインストールします。

2.Start AC

2. AC を起動します。

3.Create a user with username greater than 8 characters

3 .8 文字を超えるユーザ名で、ユーザを作成します。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where seosd is restarted by seoswd, the process become defunct process.

seosd が seoswd によって再起動され、プロセスが非アクティブプロセスになるという、ControlMinder の問題を修正しました。

AC125SP50112

UNIX all

The child process takes more than 10 seconds to exec seosd whereas the parent process wakes up in 10 seconds moves on without waiting for the child's process.

子プロセスが seosd の実行に 10 秒以上を要するのに対し、親プロセスは 10 秒以内に起動し、子のプロセスを待たずに、次の段階に進みます。

T243743 ----> Sun Solaris

1587

T243744 ----> HPUX11.11

T243745 ----> HPUX IA64

T243746 ----> Aix

T243747 ----> Sun Intel x86

T243748 ----> Linux X86

T243749 ----> Linux X64

T243750 ----> Linux IA64

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where sepmdd auto truncate corrupts the subscriber database.

sepmdd の自動トランケートによってサブスクライバデータベースが破損するという、ControlMinder の問題を修正しました。

AC125SP50113

UNIX all

The internal global offset is not updated correctly when trying to create a new database for the subscribers.

サブスクライバの新規データベース作成時に、内部グローバルオフセットが適切に更新されません。

Please apply the fix sepmdd. or set trigger_auto_truncate = 1024, and then run "sepmd -t DH__WRITER auto" once a day.

修正プログラム sepmdd を適用してください。または、trigger_auto_truncate = 1024 を設定してから、1 日に 1 回、"sepmd -t DH__WRITER auto" を実行してください。

1743

T243810

Unix Endpoint User Mode

Fixes an issue with ControlMinder where the FILE audit for SSH <cmd> shows HOST prefix.

SSH <cmd> の FILE audit で HOST プレフィクスが表示されるという、ControlMinder の問題を修正しました。

AC125SP50114

UNIX all

1.Install AC

1 AC をインストールします。

1633

TC61172

2.Start AC

2 AC を起動します。

3.Create a file

3. ファイルを作成します。

nf /usr/bin/df owner(nobody) audit(all) defacc(all)

4.Create a user

4. ユーザを作成します。

nu test01 password(123)

5.ssh -l test01 0 df -h

6.Verify that the host name in FILE audit for /usr/bin/df does

6. /usr/bin/df の FILE audit で、ホスト名が 0.0.0.0 ではないことを確認します。

NOT say 0.0.0.0.

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where selogrd detects corrupted record while intensive writing records is performed to seos.audit. Selogrd processes the same audit log successfully after writing is over.

seos.audit に対して集中レコード書き込みが行われている間に、selogrd が破損したレコードを検出するという、ControlMinder の問題を修正しました。書き込み終了後に、selogrd は同じ監査ログを正常に処理します。

AC125SP50116

UNIX all

1635

T5P7080 file for HPUX

T5P7081 file for HPUX IA64

T5P7082 file for AIX

T5P7083 file for SUN

T5P7084 file for LINUX

T5P7085 file for AIX 12.5SP4

UNIX Endpoint User Mode

Fixes an issue where ControlMinder can not start after migration from ControlMinder r8.0SP1 to r12.5SP4 with the syslog error "CA Access Control file table set failed ERROR".

ControlMinder r8.0SP1 から r12.5SP4 への移行後に ControlMinder を起動できず、"CA Access Control ファイルテーブルセット失敗エラー" という syslog エラーが表示される問題を修正しました。

AC125SP50121

HP-UX

The AC DB consists of FILE rules for NFS files.

AC DB は NFS ファイルの FILE ルールで構成されています。

NFS FILE rules in AC DB

AC DB 内の NFS FILE ルール。

Use original path name when AC file name resolving fails to find path of NFS file.

AC ファイル名解決で NFS ファイルのパスの検出に失敗した場合、元のパス名を使用します。

1638

T3DB069

UNIX Endpoint User Mode

Fixes an issue with ControlMinder on AIX where seaudit -kbl -cmd did not show session commands because input was not collected by the command logger.

入力がコマンドロガーによって収集されないため、seaudit -kbl -cmd でセッションコマンドが表示されないという、AIX での ControlMinder の問題を修正しました。

AC125SP50122

AIX

No "KBL input" in output of seaudit -kbl -sid <session ID> -cmd

seaudit -kbl -sid <session ID> -cmd の出力に、"KBL input" がありません。

1637

TC61170 (AC R12.5 SP4),

TC61171 (AC R12.5 SP5)

RO34766

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where command logger does not get real path to the shell.

コマンドロガーがシェルの実パスを取得できないという、ControlMinder の問題を修正しました。

AC125SP50124

UNIX all

No records with cmd data on Linux .

Linux で cmd データが含まれるレコードがありません。

Linux, sh as login shell that is link to bash

Linux で、bash へのリンクであるログインシェルとして sh。

Put real path to shell in /etc/passwd

/etc/passwd で実パスをシェルに入力します。

1) On Linux interactive user has /bin/sh as login shell. /bin/sh is a link to bash. 2) open session as interactive user, work, close the session 3) prints commands for this session (seaudit -cmd)

1) Linux で対話ユーザはログインシェルとして /bin/sh を使用します。 /bin/sh は bash へのリンクです。 2) 対話ユーザとしてセッションを開き、作業を行い、セッションを閉じます。 3) このセッションのコマンドを出力します（seaudit -cmd）。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the command "who am i" shows duplicated lines.

コマンド "who am i" で重複する行が表示されるという、ControlMinder の問題を修正しました。

AC125SP50128

Linux all

Set DEAD utmp for both original tty and new KBL tty

元の tty と新規 KBL キーの両方に対して、DEAD utmp を設定します。

1570

AC 12.5 SP3, version 12.53.0.1813, tar files:

T3DB055 (Linux x86_64), T3DB056 (Linux ia64), T3DB057 (AIX),

T3DB058 (Solaris SPARC),T3DB060 (HPUX ia64), T3DB066 (Linux x86_32)

AC 12.5SP5, version 12.55.0.1036, tar files:

T3DB071(Linux x86_32), T3DB072(Linux x64), T3DB073(Linux IA64), T3DB074(AIX)

T3DB075(Solaris SPARC), T3DB076(HPUX RISC), T3DB077(HPUX IA64)

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where the session becomes undefined after zone halt or boot or zlogin for Solaris zones.

Solaris ゾーンに対するゾーンの停止、ブート、または zlogin 後にセッションが未定義になるという、ControlMinder の問題を修正しました。

AC125SP50134

Solaris

1641

TC61174

Unix Endpoint User Mode

Fixes an issue with ControlMinder where the an additional argument in dotoprocs() causes system malfunction on shutdown.

dotoprocs() の追加の引数によって、シャットダウン時にシステム障害が発生するという、ControlMinder の問題を修正しました。

AC125SP50135

Solaris

OS include files have changed between Sol 10u9 and Sol 10u9 + patch. dotoprocs() has an additional argument that leads to the panic.

OS インクルードファイルが Sol 10u9 と Sol 10u9 + パッチの間で変更されています。dotoprocs() にパニックにつながる追加の引数があります。

Panic on shutdown

シャットダウン時のパニック。

New kernel modules needed for Sol 10u9 with patch

パッチが適用された Sol 10u9 で、新規カーネルモジュールが必要です。

1640

AC 125sp5: T540074 (sparc), T540075 (X640), AC 125sp4: Testfixes T540076 (sparc), T540077 (X64)

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where FILE resource /etc/* throws an error and is not imported to seosdb.

FILE リソース /etc/* が例外をスローし、seosdb にインポートされないという、ControlMinder の問題を修正しました。

AC125SP50137

UNIX all

The rule in baseline is /etc/*.

ベースラインのルールは /etc/* です。

Change /etc/* rule in baseline to /etc/**.

ベースラインの /etc/* ルールを /etc/** に変更します。

UNAB

Fixes an issue with UNAB where Active Directory users fail to login when Active Directory is down.

Active Directory の停止時に Active Directory ユーザがログインに失敗するという、UNAB の問題を修正しました。

AC125SP50138

Linux all

Add UNIX attributes to the Windows group.

UNIX 属性を Windows グループに追加します。

TC61178 (Linux X86 32 bit), TC61179 (Linux X86_64 64 bit), TC61180 (AIX), TC61181 (Solaris)

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where the session hangs when individual scripts are run consecutively.

個別のスクリプトが連続して実行されると、セッションがハングするという、ControlMinder の問題を修正しました。

AC125SP50140

Linux s390

Windows Endpoint User Mode

Fixes an issue with ControlMinder where when a short name is used in delete operation bypasses our partial match logic.

削除操作でショートネームが使用されると、部分一致ロジックがバイパスされるという、ControlMinder の問題を修正しました。

AC125SP50141

Windows all

Short name used in delete operation bypass our partial match logic.

削除操作で使用されるショートネームによって、部分一致ロジックがバイパスされます。

See reproduction steps

再現手順参照。

Fixed code to match the case correctly

大文字小文字が正確に一致するように、コードを修正しました。

1.Under AC LOG folder create file seos1.audit.bak 2.Add AC rule with defacc(r) for the file full path wildmask at the end, i.e. ^=full path=^seos1.audit.bak* 3.Try to read the file - it shoul pass. 4.Try to delete the file via command line - it should be denied, but passed instead( if the bug not fixed).

1. AC LOG フォルダで、ファイル seos1.audit.bak を作成します。 2. ファイルのフルパスに対して、末尾にワイルドマークを付けて、defacc(r) で AC ルールを追加します。すなわち、以下のようになります。 ^=full path=^seos1.audit.bak*。 3. ファイル - it shoul pass の読み取りを試行します。 4. コマンドラインからファイルの削除を試行します - 拒否されるはずですが、そうはならず承認されます（バグが修正されていない場合）。

Windows Endpoint User Mode

Fixes an issue with ControlMinder where seosd stops responding after executing the secons -s command.

secons -s コマンドの実行後に seosd が応答を停止するという、ControlMinder の問題を修正しました。

AC125SP50142

Windows all

Collection of issues, starting with non-initiated variables and up to non-optimal control flow.

開始されていない変数で始まり、最適化されていないコントロールフローに至る、問題のコレクション。

secons -s

525

T537685

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where false deviations are reported after deploying AIX Out of the Box policy and the user runs 'get devcalc' from selang.

AIX Out of the Box ポリシーをデプロイし、ユーザが selang から 'get devcalc' を実行した後に、間違った偏差が報告されるという、ControlMinder の問題を修正しました。

AC125SP50145

UNIX all

1645

TC61183

UNAB

Fixes an issue with UNAB where busy condition is experienced in NSS_UXAUTH while processing Active Directory users from Cron.

Cron からの Active Directory ユーザの処理中に、NSS_UXAUTH でビジー条件が発生するという、UNAB の問題を修正しました。

AC125SP50148

UNIX all

Cron encountered a busy condition.

Cron によってビジー条件が検出されます。

Cron on AIX may require a restart to clear its own state and resume successsful cronjob execution

その状態をクリアし、cronjob の正常な実行を再開するために、AIX 上の Cron で再起動が必要になる場合があります。

Use the native SQLite3 sqlite3_busy_timeout API to handle busy condition (it is integrated with the SQLite3 engine), rather than rely on just sleep and backoff. Force database close when busy condition persists. Provide more detailed and specific messages when busy condition is encountered.

スリープおよびバックオフに依存するのではなく、ネイティブ SQLite3 sqlite3_busy_timeout API （SQLite3 エンジンと統合されています）を使用して、ビジー条件を処理します。ビジー条件が継続する場合は、データベースを強制的にクローズします。ビジー条件発生時に、より詳細かつ具体的なメッセージを提供します。

TC61182

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where Korean characters are not supported.

韓国語の文字がサポートされていないという、ControlMinder の問題を修正しました。

AC125SP50149

UNIX all

Input letters in Korean are converted or recognized when typed, but becomes meaningless if KBL is running.

韓国語の入力文字は、入力時に変換または認識されますが、KBL の実行時には文字化けします。

1644

TC61184

UNIX Endpoint Kernel Mode

Fixes a compatibility issue with ControlMinder to support VMware ESX3.5 kernel 2.4.21-66.

VMware ESX3.5 カーネル 2.4.21-66 をサポートするために、ControlMinder の互換性の問題が修正されました。

AC125SP50152

Linux

Kernel headers changed with kernel 2.4.21-66

カーネル 2.4.21-66 で、カーネルヘッダが変更されました。

Install ESX 3.5 u5 with June 2011 patch rollup. AC should start successfully

June 2011 パッチロールアップで、ESX 3.5 u5 をインストールします。AC は正常に起動するはずです。

1648

T540078

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where if more than one user is using uid 0 then keyboard logger records for the user includes user name as root.

複数のユーザが uid 0 を使用していると、ユーザのキーボードロガーレコードにユーザ名が root として含まれるという、ControlMinder の問題を修正しました。

AC125SP50157

UNIX all

Logget uses system call for getting user name from uid. AC api should be used.

Logget は uid からのユーザ名の取得にシステムコールを使用します。AC api を使用する必要があります。

PamPassUserInfo = 1 kbl_enabled = yes

no workaround

回避策はありません。

Set kbl_enabled = yes PamPassUserInfo = 1 Create user with uid=0 Define the user as interactive in selang Login via ssh as created user Check sewhoami -a shows correct user name Check KBL records for this session

kbl_enabled = yes PamPassUserInfo = 1 に設定します。 uid=0 でユーザを作成します。 selang で対話ユーザとしてユーザを定義します。作成されたユーザとして、ssh 経由でログインします。 sewhoami -a で正しいユーザ名が表示されることを確認します。このセッションについて、KBL レコードを確認します。

1673

TC61212

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where dbmgr command cannot handle groups with more than 15 members.

dbmgr コマンドでメンバが 16 以上のグループを処理できないという、 ControlMinder の問題を修正しました。

AC125SP50158

UNIX all

The dbmgr -e -l -f rules.txt didn't handle the scenario where a group has more than 15 groups properbly.

グループに 16 以上のメンバがある場合、dbmgr -e -l -f rules.txt で適切にシナリオを処理できませんでした。

Create a group with 15 members. dbmgr -e -l create an incorrect command for this group.

15 メンバでグループを作成します。 dbmgr -e -l。このグループの不正なコマンドを作成します。

Reduce the number of member to 14. The fix is dbmgr.

メンバを 14 に減らします。修正プログラムは、dbmgr です。

1653

T243829

UNIX Endpoint Kernel Mode

Fixes performance issues that occurred after enabling ControlMinder.

ControlMinder を有効にした後に発生する、パフォーマンスの問題を修正しました。

AC125SP50159

Solaris

Operation VOP_READDIR is 10 times longer then search within fetched buffer.

操作 VOP_READDIR は、フェッチされたバッファ内の検索より 10 倍長くなります。

Allocate bigger buffer AC uses to read directory. Operation VOP_READDIR is 10 times longer then search within fetched buffer.

AC がディレクトリの読み取りに使用するバッファサイズを増やします。操作 VOP_READDIR の長さは、取得バッファ内の検索の 10 倍です。

1652

T3DB083

Windows Endpoint User Mode

Fixes an issue with ControlMinder with seos.collect.audit where seaudit displays the TCP log with an incorrect hostname.

seaudit で TCP ログに不正なホスト名が表示されるという、seos.collect.audit での ControlMinder の問題を修正しました。

AC125SP50160

Windows all, UNIX all

Please run "seaudit" on seos.collect.audit where there is hostname in the audit log. The field that for hostname will be replaced by the localhost name.

監査ログ内にホスト名がある seos.collect.audit で "seaudit" を実行します。ホスト名のフィールドは、ローカルホスト名に置換されます。

1654

T243830

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where 'secons -scl' shows 24 lines output and suppresses the rest.

secons -scl' で 24 行の出力が表示され、残りは表示されないという、ControlMinder の問題を修正しました。

AC125SP50161

UNIX all

Many processes blocked in system calls

システムコールで多数のプロセスがブロックされます。

Solution: secons will use bigger buffer when fetching current syscalls. New buffer will be 128KB (bigger buffer may lead to failing allocation)

現在の syscall の取得時に、secons はより大きなバッファを使用します。新規バッファは、128KB です（バッファサイズを大きくすると、割り当てに失敗する場合があります）。

UNAB

Fixes an issue with UNAB where password problems occur in Kerberos during Endpoint registration.

エンドポイント登録中に、Kerberos でパスワードに関する問題が発生するという、UNAB の問題を修正しました。

AC125SP50162

UNIX all

TC61216, TC61217, TC61218, TC61219, TC61220, TC61221

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where remote ssh commands print wrong output when the keyboard logger is enabled.

キーボードロガーが有効な場合、リモート ssh コマンドで間違った出力が行われるという、ControlMinder の問題を修正しました。

AC125SP50165

AIX

AC kernel fails to copyin exec arguments and cannot detect "sh -c" command (KBL ignores sh -c)

AC カーネルは exec 引数のコピーに失敗し、 "sh -c" コマンドを検出できません（KBL は sh -c を無視します）。

Fix copying into kernel arguments

カーネル引数へのコピーを修正しました。

Do remote command "ssh ^=AIX_host=^ 'oslevel -s'"

以下のリモートコマンドを実行します。 "ssh ^=AIX_host=^ 'oslevel -s'"

1650

T3DB081

Windows Endpoint User Mode

Fixes an issue with ControlMinder where seosd stops responding after executing the secons -s command.

secons -s コマンドの実行後に、seosd が応答を停止するという、ControlMinder の問題を修正しました。

AC125SP50166

Windows all

Shared folders access via network

ネットワーク経由の共有フォルダアクセス。

Added appropriate flag

適切なフラグを追加しました。

525

T537685

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the root user could not login when AC PAM is active.

AC PAM がアクティブな場合、root ユーザがログインできないという、ControlMinder の問題を修正しました。

AC125SP50168

Linux

1632

TC61166 (x86), TC61167 (x64)

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where pam_uxauth should be prior to pam_seos.

pam_uxauth は pam_seos より先である必要があるという、ControlMinder の問題を修正しました。

AC125SP50170

Linux

1632

TC61166 (x86), TC61167 (x64)

Windows Endpoint Kernel Mode

Fixes an issue with ControlMinder where resources access sharing violation conflict occurs.

リソースアクセス共有違反競合が発生するという、ControlMinder の問題を修正しました。

AC125SP50171

Windows all

Sharing violation

共有違反

System reboot

システムの再起動。

Define rule for deviceharddiskvolume* with defacc(a) audit(f) owner(nobody) and check that no exists services fails to load after reboot.

defacc(a) audit(f) owner(nobody) で deviceharddiskvolume* のルールを定義し、リブート後にロードに失敗したサービスがないことを確認します。

525

T537685

Windows Endpoint User Mode

Fixes an issue with ControlMinder where HOSTNET rules remain effective even though HOST class is off.

HOST クラスがオフの場合でも、HOSTNET ルールが有効なままであるという、ControlMinder の問題を修正しました。

AC125SP50172

Windows all

Activate or de-activate GHOST, HOSTNET and HOSTNP according to HOST's activation status.

HOST のアクティベーションステータスに応じて、GHOST、HOSTNET、および HOSTNP をアクティブまたは非アクティブにします。

Disable HOST.

HOST の無効化。

1. TCP class ON, HOST class OFF.

1. TCP クラスを ON、HOST クラスを OFF にします。

2. Create rules.

2. ルールを作成します。

editres TCP ("3389") audit(ALL) defaccess(NONE) owner('nobody')

editres HOSTNET ("testseg") audit(ALL) owner('nobody')

authorize HOSTNET ("testseg") access(READ) service(3389)

3. login by RDP, it should be denied but permitted.

3. RDP でログインします。拒否されるはずですが、許可されます。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where seosd is stuck on openlog() when restarted through by seoswd.

seoswd によって再起動された場合、seosd が openlog() にスタックされるという、ControlMinder の問題を修正しました。

AC125SP50173

UNIX all

seosd is stuck on openlog().

seosd は openlog() にスタックされます。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the root user could not login when AC PAM is active.

AC PAM がアクティブな場合、root ユーザがログインできないという、ControlMinder の問題を修正しました。

AC125SP50174

Linux

1632

TC61166 (x86), TC61167 (x64)

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where core file gets generated when you deploy a policy that includes update class warning commands flags and run devcalc.

更新クラス警告コマンドフラグを含むポリシーをデプロイし、devcalc を実行すると、コアファイルが生成されるという、ControlMinder の問題を修正しました。

AC125SP50175

UNIX all

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where seosd crashes on Solaris SPARC.

Solaris SPARC で seosd がクラッシュするという、ControlMinder の問題を修正しました。

AC125SP50176

Solaris

Kernel event handler returned wrong authorization answer when message was released by going down seosd

seosd を停止してメッセージがリリースされた際に、カーネルイベントハンドラによって間違った許可応答が返されました。

Kernel even handler returns ALLOW if message status is not "ANSWER"

メッセージステータスが "ANSWER" ではない場合、カーネルイベントハンドルは ALLOW を返します。

1651

T3DB082 (AC 12.5SP3-Solaris 10 SPARC), T3DB089 (AC 12.5SP5 on Solaris SPARC)

UNIX Endpoint User Mode

Fixes an issue where ControlMinder hangs after SSH user login.

SSH ユーザログイン後に、ControlMinder がハングするという問題を修正しました。

AC125SP50177

UNIX all

API timeout conflicts with SSH signal handler.

API タイムアウトが SSH シグナルハンドラと競合します。

1663

TC61190

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where an empty "who am i" output received when keyboard logger enabled.

キーボードロガーが有効な場合、空の "who am i" 出力が受信されるという、ControlMinder の問題を修正しました。

AC125SP50178

Linux

Linux updates original utmp entry with new tty when calling updwtmp() because cmdlog does not change ut_id of entry. When process exits AC KBL removes new tty entry while original entry does not exits anymore.

cmdlog はエントリの ut_id を変更しないため、updwtmp() コール時に、Linux は元の utmp エントリを新しい tty で更新します。プロセス終了時に、AC KBL は新しい tty エントリを削除しますが、元のエントリは終了しません。

KBL traced user exec shell

KBL でトレースされたユーザ実行シェル。

Build new utmp entry including ut_pid, ut_id and ut_line

ut_pid、ut_id および ut_line を含む、新規 utmp エントリを作成します。

AC=^ eu root audit(n) AC=^ eu test audit(i) Compile C-code binary "shell" { setuid(^=test_uid=^); execlp ("/bin/bash", "-bash", (char *)0); } chown test shell chmod 4755 shell ---------------- ssh root@host # who am i -=^ pts/3 # ./shell bash-3.00# who am i -=^ pts/4 bash-3.00# exit # who am i -=^ empty

1570

AC 12.5 SP3, version 12.53.0.1813:

T3DB055 (Linux x86_64), T3DB056 (Linux ia64), T3DB057 (AIX),

T3DB058 (Solaris SPARC),T3DB060 (HPUX ia64), T3DB066 (Linux x86_32)

AC 12.5SP5, version 12.55.0.1036:

T3DB071(Linux x86_32), T3DB072(Linux x64), T3DB073(Linux IA64), T3DB074(AIX)

T3DB075(Solaris SPARC), T3DB076(HPUX RISC), T3DB077(HPUX IA64)

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where policies (includes OOTB policies) were not migrated after upgrade.

アップグレード後にポリシー（OOTB ポリシーを含む）が移行されないという、ControlMinder の問題を修正しました。

AC125SP50189

UNIX all

The policy has space in name.

ポリシー名にスペースが含まれています。

UNIX Endpoint Kernel Mode

Fixes an issue where ControlMinder installation directories are not protected when the bypass_realpath token is set to 1.

bypass_realpath トークンが 1 に設定されている場合、ControlMinder のインストールディレクトリが保護されないという問題を修正しました。

AC125SP50190

HP-UX

Because the kernel mount protection table is not properly set and get_realname() fails to properly set the path string, when mounting on AC installation directories it fails to protect it.

カーネルマウント保護テーブルが適切に設定されておらず、get_realname() でパス文字列が適切に設定されないために、AC インストールディレクトリへのマウント時に、その保護に失敗します。

bypass_realpath set to 1.

bypass_realpath を 1 に設定します。

Don't set bypass_realpath.

bypass_realpath を設定しません。

Set bypass_realpath = 1. mkdir /tmp/testmount touch /tmp/testmount/notanemptydir start AC. mount /tmp/testmount /opt/CA/AccessControl This will mount /tmp/testmount over /opt/CA/AccessControl. Do "ls /opt/CA/AccessControl" to see if it is successfully mounted. Before shutting down AC, do "umount /tmp/testmount".

bypass_realpath = 1 を設定します。 mkdir /tmp/testmount touch /tmp/testmount/notanemptydir AC を起動します。 /tmp/testmount /opt/CA/AccessControl をマウントします。これによって、/tmp/testmount が /opt/CA/AccessControl にマウントされます。 "ls /opt/CA/AccessControl" を実行して、正常にマウントされたかどうか確認します。 AC をシャットダウンする前に、"umount /tmp/testmount" を実行します。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where JVM throws java.lang.OutOfMemoryError when it runs out of memory in heap.

JVM がヒープでメモリ不足になると、java.lang.OutOfMemoryError をスローするという、ControlMinder の問題を修正しました。

AC125SP50191

Linux

Add three parameters jvm_ms, jvm_mx, jvm_mps to accomon.ini allowing to configure heap size of Permananet and Heap spaces by setting JVM options.

3 つのパラメータ、jvm_ms、jvm_mx、jvm_mps を accomon.ini に追加します。これにより、JVM オプションを設定して、Permananet および Heap スペースのヒープサイズを設定します。

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where a command was not executed properly because the session lost the AC user identity.

セッションが AC ユーザ ID を紛失するために、コマンドが適切に実行されないという、ControlMinder の問題を修正しました。

AC125SP50192

Linux

AC kernel module sent an EXEC event to AC authorization daemon but AC auth daemon couldn't determine which user has executed the command and thus could not enforce protection.

AC カーネルモジュールは EXEC イベントを AC 許可デーモンに送信しましたが、AC 許可デーモンはどのユーザがコマンドを実行したか判断できませんでした。そのため、保護を実行できませんでした。

1642

TC61191

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where FILE access is denied on startup.

起動時に FILE アクセスが拒否されるという、ControlMinder の問題を修正しました。

AC125SP50193

UNIX all

A time window exists between enabling interception and building the process table. Processes entering authorization after interception may consist ACEE=0 which is an "undefined" user.

インターセプトの有効化とプロセステーブルの構築の間にタイムウィンドウがあります。インターセプトが "未定義の" ユーザである ACEE=0 を構成した後に、権限の入力を処理します。

AC start up

AC スタートアップ。

AC should avoid process authorization until internal Process Table in ready

内部プロセステーブルの準備ができるまで、AC はプロセス許可を回避する必要があります。

(1) Create script "test.sh" -------- #!/bin/sh i=0 while [ $i -lt 50000 ] do /bin/cat "path_test_file" =^ /dev/null if [ $? != 0 ]; then echo "ERROR: $?" fi i=`expr $i + 1` done -------- (2) protect "path_Test_file" in AC, allow just test user access it (3) login test user and start test script ==^ no errors accessing protected file (4) Start AC EXPECT: no errors from the script. REPEAT start - stop AC several times

(1) スクリプト "test.sh" を作成します -------- #!/bin/sh i=0 while [ $i -lt 50000 ] do /bin/cat "path_test_file" =^ /dev/null if [ $? != 0 ]; then echo "ERROR: $?" fi i=`expr $i + 1` done -------- (2) AC で "path_Test_file" を保護し、テストユーザのアクセスのみを許可します。 (3) テストユーザとしてログインし、テストスクリプトを開始します。 ==^ 保護ファイルへのアクセスでエラーは発生しません。 (4) AC EXPECT の開始: スクリプトエラーはありません。 AC の起動、停止を数回繰り返します。

1660

T3DB090

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where user login is denied when old_sesu is set to no in seos.ini.

seos.ini で old_sesu が「no」に設定されている場合に、ユーザログインが拒否されるという、ControlMinder の問題を修正しました。

AC125SP50194

Linux x64

Problem occurs as setuid from /bin/su is not allowed.

/bin/su からの setuid は許可されていないため、問題が発生します。

1614

T243780

Windows Endpoint User Mode

Fixes an issue with ControlMinder where policy deployment fails.

ポリシーのデプロイに失敗するという、ControlMinder の問題を修正しました。

AC125SP50195

Windows all, UNIX all

UNIX Endpoint User Mode

Fixes an issue where Control Minder produces core dump if nslooku fails

nslookup が失敗すると Control Minder がコアダンプを生成するという問題を修正しました。

AC125SP50196

Solaris, HP-UX

Attempted dereference of Null pointer

NULL ポインタの参照解除の試行。

AC produces core dump on AC startup.

AC スタートアップ時に、AC はコアダンプを生成します。

Start AC on Solaris or HPUX when network name resolution does not work - nslookup fails. AC produces core dump on AC startup. This fix does not fix AC not starting, but core dump will not occur.

ネットワークの名前解決が機能しない場合に、Solaris または HPUX 上で AC を起動します - が失敗します。 AC 起動時に AC はコアダンプを生成します。この修正によって AC が起動しない問題は解決されませんが、コアダンプは生成されなくなります。

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where the system panicked when connection was intercepted.

接続がインターセプトされるとシステムパニックが発生するという、ControlMinder の問題を修正しました。

AC125SP50197

AIX

A closed socket was associated with a file descriptor passed to the connext system call.

クローズされたソケットは、接続システムコールに渡されたファイル記述子に関連付けられました。

When net event is not activated, for example.

たとえば、ネットイベントがアクティブになっていない場合。

Decrement the use count of the socket file after the original connext syscall.

元の接続 syscall 後に、ソケットファイルの使用回数を減らします。

1662

TC61188 (12.5 SP4), TC61189 (8.0SP1 CR17)

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where a system panic occurs on shutdown due to interaction with other applications.

他のアプリケーションとの対話が原因で、シャットダウン時にシステムパニックが発生するという、ControlMinder の問題を修正しました。

AC125SP50198

Linux

Crash at shutdown because AC is not checking that execve syscall table pointers have been updated

execve syscall テーブルポインタが更新されていることを AC が確認しないために、シャットダウン時にクラッシュします。

AC shutdown

AC シャットダウン。

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the Windows Enterprise Management Server continuously crashes after installation

インストール後に Windows Enterprise Management Server が繰り返しクラッシュするという、ControlMinder の問題を修正しました。

AC125SP50199

Windows all

Reverse engineered code.

リバースエンジニアリングされたコード。

Improved stability

安定性の向上。

531

T5P7096

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where sepass -l fails to change password for a user that is not defined in the database.

sepass -l で、データベースに定義されていないユーザのパスワードの変更に失敗するという、ControlMinder の問題を修正しました。

AC125SP50200

UNIX all

1665

TC61192, TC61199

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where AC FORK synchronization does not apply to vfork where child will not start before parent finishes forking - AC will hang process.

親がフォークを終了する前に子が起動しない vfork に AC FORK 同期が適用されないという、ControlMinder の問題を修正しました - AC のプロセスがハングします。

AC125SP50202

Linux

AC FORK synchronization does not apply to vfork where child will not start before parent finishes forking - AC will hang process

親がフォークを終了する前に子が起動しない vfork に AC FORK 同期が適用されません - AC のプロセスがハングします。

Application calling some vfork flavore

一部の vfork flavore をコールするアプリケーション。

When an application calls vfork() system call AC might cause it to hang.

アプリケーションが vfork() システムコールをコールすると、AC でそれがハングする場合があります。

1642

TC61175, TC61176, TC61191

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where after a user logs in with the default shell (/bin/sh) and surrogates to root or equivalent and then pressing Ctrl-c, the id command switches user between logged in user and root.

デフォルトのシェル（/bin/sh）でユーザがログインし、root または同等の代理ユーザになり、Ctrl + C を押すと、id コマンドでログインユーザと root の間でユーザが切り替わるという、ControlMinder の問題を修正しました。

AC125SP50205

Solaris

On Solaris and Bourne Shell.

Solaris および Bourne シェル。

There is no workaround except using a different shell. The solution is for all platforms. It properly waits for the termination of the child process and handles the SIGINT.

別のシェルを使用する以外に、回避策はありません。このソリューションは、すべてのプラットフォームで有効です。子プロセスの終了を適切に待機し、SIGINT を処理します。

1. Log in as a regular user with /bin/sh as its default shell. 2. Run id to verify it. 3. Start AC if it is not up yet. 4. Run sesu. 5. Run id to check if it is root. 6. Run sewhoami to see if it is the regular user. 7. Type Ctrl-C. 8. Run the id command repeatedly. It will switch back and forth between root and the login user.

1. /bin/sh をデフォルトのシェルとして使用して、正規ユーザとしてログインします。 2. id を実行して、ログインを確認します。 3. AC がまだ起動していなければ、起動します。 4. sesu を実行します。 5. id を実行して、ユーザが root かどうか確認します。 6. sewhoami を実行して、ユーザが正規ユーザかどうか確認します。 7. Ctrl + C を押します。 8. id コマンドを繰り返し実行します。これによって、root とログインユーザの間でユーザの切り替えが行われます。

1671

T3E7138

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where the system panicked in my_chdir() when my_chdir() called pn_free() to free an already freed pathname struck, user_pn.

すでに解放されているパス名ストラック user_pn を解放するために、my_chdir() が pn_free() をコールする際に、my_chdir() でシステムパニックが発生するという、ControlMinder の問題を修正しました。

AC125SP50207

HP-UX, Solaris

Check the pathname struct before calling pn_free().

pn_free() をコールする前に、パス名の完全一致を確認します。

Windows Endpoint Kernel Mode

Fixes an issue with ControlMinder where panic occurs after installation due to cainstrm error with function failure return code processing.

ファンクションの失敗リターンコード処理が原因で、インストール後にパニックが発生するという、ControlMinder の問題を修正しました。

AC125SP50208

Windows all

Code fails to treat properly fail return code of function called.

コードは、コールされたファンクションの失敗リターンコードの適切な処理に失敗します。

532

T5P7097

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where 'installation file not found/missing' error occurs when the "install_base" is run without specifying parameters.

パラメータを指定せずに "install_base" が実行されると、'installation file not found/missing' エラーが発生するという、ControlMinder の問題を修正しました。

AC125SP50226

UNIX all

install_base has an incorrect tar file for X64.

install_base の X64 用 tar ファイルが不正です。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the audit log is routed to syslog by selogrd.

selogrd によって監査ログが syslog にルーティングされるという、ControlMinder の問題を修正しました。

AC125SP50228

UNIX all

The session id is not included.

セッション ID が含められていません。

Run "seaudit -a" on a collected seos.audit log.

収集された seos.audit ログに対して "seaudit -a" を実行します。

1. Seaudit -a -sessionid

1675

T243852, T243853, T243854, T243855, T243856, T243857

note the option -sessionid, we can see the session ID in the audit logs.

オプション -sessionid で、監査ログにセッション ID が表示されます。

2. In selogrd.cfg.

2. selogrd.cfg で

syslogrule

syslog LOG_INFO

<dot>

3. Please check the syslog, there is no session ID in the audit log.

3. syslog を確認してください。監査ログにセッション ID がありません。

100

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where selogrd RPC error when setting UseEncryption = eTrust.

UseEncryption = eTrust と設定すると、selogrd RPC エラーが発生するという、ControlMinder の問題を修正しました。

AC125SP50230

UNIX all

Encryption function saves key length as "unsigned long". It value differs on 32-bit is 4 bytes, on 64-bit value is 8 bytes long. As result selogrd obtains incorrect key and uses it when encrypting.

暗号化ファンクションによって、キー長が "符号なし長整数" として保存されます。この値は 32 ビットとでは 4 バイト、64 ビットでは 8 バイトと、異なります。その結果、暗号化実行時に selogrd は不正なキーを取得し、それを使用します。

encryption = eTrust

暗号化 = eTrust。

Save key length as "unsigned int" which is 4 bytes on both 32-bit and 64-bit systems.

キー長さを "符号なし整数" として保存します。これは、32 ビットと 64 ビットの両方のシステムで、4 バイトです。

Choose 32-bit collector (Solaris, AIX) and 64-bit emitter machine (Linux x86_64). Set UseEncryption = eTrust (in seos.ini) both collector and emitter. Run both collector and emitter command "sechkey -k ^=some_key=^". Start selogrcd (collector). Try to start "selogrd -d" (emitter) ==^ RPC error 11

32 ビットコレクタ（Solaris、AIX）および 64 ビットエミッタマシン（Linux x86_64）を選択します。コレクタとエミッタの両方で、UseEncryption = eTrust（seos.ini で）を設定します。コレクタとエミッタの両方の以下のコマンドを実行します。"sechkey -k ^=some_key=^"。 selogrcd（コレクタ）を起動します。 "selogrd -d"（エミッタ）の起動を試行します。 RPC エラー 11 が発生します。

1672

T3DB088

101

UNAB

Fixes an issue with UNAB where error occurs due to a regression slip in uxauth_krb5_preauth() call.

uxauth_krb5_preauth() コールにおけるレグレッションスリップが原因でエラーは発生するという、UNAB の問題を修正しました。

AC125SP50231

UNIX all

uxconsole is not able to obtain a credential ticket for an account.

uxconsole は、アカウントのクレデンシャルチケットを取得できません。

T243848, T243849, T243850, T243851

102

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where wrong authorization results for PACL rules.

PACL ルールの認証結果が間違っているという、ControlMinder の問題を修正しました。

AC125SP50233

HP-UX IA64

Kernel file cache saved program "bash" instead of actual program "cat".

カーネルファイルキャッシュによって、実際のプログラム "cat" ではまく、プログラム "bash" が保存されます。

1729

TC61240

103

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the property ON_BEHALF_OF is assigned more than one value.

プロパティ ON_BEHALF_OF が複数の値に割り当てられるという、ControlMinder の問題を修正しました。

AC125SP50237

Windows all, UNIX all

The property has to be ON_BEHAVE_OF. you have to create and assign a policy to see the error.

プロパティは ON_BEHAVE_OF である必要があります。エラーを確認するには、ポリシーを作成し、割り当てる必要があります。

Create a policy and assign a policy to an hnode. check the error log for DMS__. "sepmd -e DMS__". ERROR: You cannot use more than one value for property ON_BEHAVE_OF.

ポリシーを作成し、ポリシーを hnode に割り当てます。 DMS__ のエラーログを確認します。 "sepmd -e DMS__"。エラー: プロパティ ON_BEHAVE_OF に複数の値を使用することはできません。

1635

T243866

UNIX Endpoint User Mode

104

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where seos module cannot be unloaded because of hanged processes accept1() syscall. The sockets are IPv4 but tripAccept handles them as IPv6.

ハングしているプロセス accept1() syscall が原因で、seos モジュールがアンロードできないという、ControlMinder の問題を修正しました。ソケットは IPv4 ですが、tripAccept はソケットを IPv6 として扱います。

AC125SP50239

AIX

tripAccept gets list of open sockets from netstat -an. tripAccept handles "tcp4" ports as IPv4 and "tcp" as IPv6, but "tcp" can be also IPv4 socket so tripAccept fails to release it.

tripAccept は、netstat -an からオープンソケットのリストを取得します。 tripAccept は "tcp4" ポートを IPv4 として、"tcp" を IPv6 として扱いますが、 "tcp" は IPv4 のソケットでもある場合があるので、tripAccept はそのリリースに失敗します。

1676

TC61200

105

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the wrong program in FILE audit is used for trusted scripts.

trusted スクリプトに FILE audit の間違ったプログラムが使用されているという、ControlMinder の問題を修正しました。

AC125SP50241

UNIX all

106

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where seaudit -kbl -sid <xxx> -cmd" does not display EffectiveUsername even after the user uses the "su" command.

ユーザが "su" コマンドを使用した後でも、seaudit -kbl -sid <xxx> -cmd" で EffectiveUsername が表示されないという、ControlMinder の問題を修正しました。

AC125SP50242

UNIX all

Fill in effective user name in KBL records.

KBL レコードに有効なユーザ名を記入します。

107

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where FILE protection does not work.

FILE 保護が機能しないという、ControlMinder の問題を修正しました。

AC125SP50248

AIX 5.3

AIX 5.3 OS level 12 uses "kopen" not intercepted by AC

AIX 5.3 OS レベル 12 は、AC によってインターセプトされない "kopen" を使用します。

Technology Level (TL) 12

テクノロジレベル（TL） 12

New SEOS_syscall module, OSMIC=b for Technology Level (TL) 12

テクノロジレベル（TL） 12 に対して、新規 SEOS_syscall モジュール、OSMIC=b。

AC=^ ef ^=test_file_path=^ defaccess(n) owner(nobody) # cat ^=test_file_path=^ ==^ result success, there is not FILE in trace and no audit records

AC=^ ef ^=test_file_path=^ defaccess(n) owner(nobody) # cat ^=test_file_path=^ ==^ 結果成功、トレースに FILE がありません、監査レコードもありません。

1679

T3DB097

108

Windows Endpoint User Mode

Fixes an issue with ControlMinder where setup removes SYSTEM user from seosdb if the user is used as a regular user and not set as Local System

ユーザが正規ユーザとして使用され、Local System として設定されていない場合に、セットアップで SYSTEM ユーザが seosdb から削除されるという、ControlMinder の問題を修正しました。

AC125SP50250

Windows all

Setup removes user SYSTEM from seosdb only if runs in context of regular user not as Local System.

セットアップによってユーザ SYSTEM が seosdb から削除されるのは、正規ユーザが Local System として設定されていない場合のみです。

109

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where issec displays all process called agent but none of ControlMinder process

issec によってプロセスでコールされたすべてのエージェントが表示されるが、ConrolMinder プロセスでコールされたエージェントは表示されないという、ControlMinder の問題を修正しました。

AC125SP50253

UNIX all

1) Test on Linux.

1) Linux でテストします。

1681

TC61201, TC61202

2) cp -ip /bin/sleep /tmp/agent

3) Create a script called /tmp/agent.sh:

3) /tmp/agent.sh というスクリプトを作成します。

#!/bin/bash

/tmp/agent 300

4) Start AC (<AC_Instal_Path>/bin/seload).

4) AC を起動します（<AC_Instal_Path>/bin/seload）。

5) Run: /tmp/agent.sh

5) 以下を実行します： /tmp/agent.sh

6) Run: <AC_Instal_Path>/bin/issec

6) 以下を実行します： <AC_Instal_Path>/bin/issec

110

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where policy deployment fails.

VMware ESX3.5 カーネル 2.4.21-66 をサポートするために、ControlMinder の互換性の問題が修正されました。

AC125SP50254

Solaris

111

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the DH WRITER DMS and DH are loaded but not responding.

DH WRITER DMS および DH がロードされるが、応答しないという、ControlMinder の問題を修正しました。

AC125SP50255

Windows all, UNIX all

The issue happens when the policyfetcher tries to update the DMS (via DH__WRITER) with deleted deployments (after performing deployment cleanup using dmsmgr). the deleted deployments contains many errors (hundreds) so many selang commands sends to the DH__WRITER.. there are 5 DH's and 400 endpoints point to every DH. the policyfetcher setting is to check for new deployments every 10 minutes (which is a too low value for such env and make the DH to be very loaded). the number of connection that the DH (agent) allow simultaneity are 200 and we exceed this number so some connections refused.

この問題が発生するのは、policyfetcher が削除されているデプロイメントで DMS を（DH__WRITER 経由で）更新しようという場合です（dmsmgr を使用してデプロイメントクリーンアップを実行した後に）。削除されたデプロイメントには、多数（数百）のエラーが含まれているため、多くの selang コマンドは DH__WRITER に送信されます.. 5 つの DH があり、各 DHには 400 のエンドポイントがあります。 policyfetcher の設定は、新規デプロイメントを 10 分間隔で確認するようになっています（これは、こうした環境では低すぎる値で、DH の負荷が非常に高くなります）。 DH（エージェント）で許可される同時接続数は 200 ですが、この値を超えるため、一部の接続は拒否されます。

Workaround - send a policy to all the endpoints to adjust the policyfetcher setting (main change is that the policyfetcher will read deployments every 6 hours which should improve the load on the DH). add a filter file to the DH__WRITER to filter out deployments errors during the recovery process (to limit commands that written to the DH__WRITER audit file). Solution:

ポリシーをすべてのエンドポイントに送信して、policyfetcher 設定を調整します（主な変更は、policyfetcher が 6 時間おきにデプロイメントを読み取ることで、これで DH へのロードが向上します）。フィルタファイルを DH__WRITER に追加して、リカバリプロセス中のデプロイメントエラーを除外します（DH__WRITER 監査ファイルに書き込まれるコマンドを制限するために）。ソリューション:

UNIX Endpoint User Mode

1. Policyfetcher : Don't send removed deployments to the DH__WRITER (if not exist on the DH)

1. Policyfetcher : 削除されたデプロイメントを DH__WRITER に送信しません（DH に存在しない場合）。

2. Policyfetcher : Control the number of deployment errors that the policyfetcher sends to the DH__WRITER

2. Policyfetcher : policyfetcher が DH__WRITER に送信するデプロイメントエラーの数を制御します。

3. Policyfetcher : Reload its setting every interval.

3. Policyfetcher : 各インターバルで、その設定を再ロードします。

4. Policyfetcher – Change the default setting. (increase the values) 5. DMS – don't create gdeployment objects that not contain any related deployment. (this should improve the deployment audit performance)

4. Policyfetcher – デフォルト設定を変更します（値を増やします）。
5. DMS – 関連するデプロイメントが含まれていない gdeployment オブジェクトを作成しません（これによって、デプロイメント監査のパフォーマンスが向上するはずです）。

112

UNAB

2.Privilleged Accounts Request by Endpoint

2. エンドポイント別特権アカウントリクエスト

AC125SP50259

Linux all

SELinux is denying sshd from calling UNAB functions from PAM

SELinux は、sshd が PAM の UNAB ファンクションをコールするのを拒否します。

SELinux is set to enforcing.

SELinux は実行に設定されます。

Set SELinux to enforcing in /etc/selinux/config With UNAB running, attempt to login using ssh with an AD user (hanuma / N0tAll0wed) Login fails

/etc/selinux/config で SELinux を実行します。 UNAB が実行されている状態で、ssh を使用して、AD ユーザ（hanuma / N0tAll0wed）でログインを試行します。ログインに失敗します。

113

UNAB

3.Privilleged Accounts Request by Requestor

3. リクエスタ別特権アカウントリクエスト

AC125SP50260

UNIX all

1649

T243828

114

Windows Endpoint User Mode

Fixes an issue with ControlMinder where cainstrm runs, but sqlcmd does not start.

cainstrm は実行されるが、sqlcmd は起動しないという、ControlMinder の問題を修正しました。

AC125SP50261

Windows all

115

Windows Endpoint Kernel Mode

Fixes an issue with ControlMinder where .Net applications (32-bit) under 64-bit OS do not start.

64 ビット OS 上で .Net アプリケーション（32 ビット）が起動しないという、ControlMinder の問題を修正しました。

AC125SP50266

Windows all

534

T5P7100

116

Windows Endpoint User Mode

Fixes an issue with ControlMinder where a Blue Screen Error occurs on Windows Server 2003 R2 SP2.

Windows Server 2003 R2 SP2 で、ブルースクリーンエラーが発生するという、ControlMinder の問題を修正しました。

AC125SP50267

Windows 2003

Drveng bug in network hooking for windows 2k3 x86/x64 only.

windows 2k3 x86/x64 のみでの、ネットワークフックにおける Drveng のバグ。

537

T5P7102

117

UNAB

Fixes an issue with UNAB where the uxconsole core dumps on user registration.

ユーザ登録時に uxconsole コアダンプが発生するという、UNAB の問題を修正しました。

AC125SP50268

UNIX all

1649

T243877

118

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where the system crashes on Solaris 10.

ユーザ登録時に uxconsole コアダンプが発生するという、UNAB の問題を修正しました。

AC125SP50270

Solaris

1687

TC61204

119

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the ReportAgent could not get correct values in audit_log.

ReportAgent が audit_log で正しい値を取得できないという、ControlMinder の問題を修正しました。

AC125SP50273

UNIX all

We need to apply the fix ReportAgent. or we have to use the default path for audit_log.

修正プログラム ReportAgent を適用する必要があります。または、audit_log に対して、デフォルトのパスを使用する必要があります。

1655

T243833, T243878, T243879, T243880, T243881, T243882

120

Windows Endpoint User Mode

Fixes an issue with ControlMinder that when installed on windows 2003 Domain Controller using Active Directory, users access to servers using Windows 7 desktops generates an audit with wrong user name.

Active Directory を使用して Windows 2003 のドメインコントローラにインストールされている場合に、Windows 7 デスクトップを使用したサーバへのユーザアクセスで生成される監査で、ユーザ名が間違っているという、ControlMinder の問題を修正しました。

AC125SP50275

Windows all

Absense of delegation thread token check

委任スレッドトークンチェックがありません。

See issue description

問題の記述を確認してください。

Added missing check

不足していたチェックを追加しました。

See issue description

問題の内容を確認します。

535

T5P7101

121

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the SSH session fails during installation.

インストール中に SSH セッションが失敗するという、ControlMinder の問題を修正しました。

AC125SP50277

Linux x86

T540102

122

Windows Endpoint User Mode

Fixes an issue with ControlMinder where kill protection leads to incorrect audit records (D PROCESS).

kill 保護により監査レコードが不正確になるという、ControlMinder の問題を修正しました（D PROCESS）。

AC125SP50279

Windows all

539

T5P7110

123

Windows Endpoint User Mode

Fixes an issue with ControlMinder where blue screen error occurs due to kernel mode stack depletion when running recurrent SPGM propagate checks for newly created process.

新規作成プロセスに対する再帰的な SPGM プロパゲートチェックの実行中に、カーネルモードスタックの枯渇により、ブルースクリーンエラーが発生するという、ControlMinder の問題を修正しました。

AC125SP50282

Windows all

124

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the policydeploy -getrules dos not work.

policydeploy -getrules が機能しないという、ControlMinder の問題を修正しました。

AC125SP50284

Windows all, UNIX all

Code error.

コードエラー。

no condition. You just need to set up the DMS__ and DH__ environment.

条件なし。 DMS__ および DH__ 環境のセットアップのみ必要です。

We need to apply the fix policydeploy.

修正プログラム policydeploy を適用します。

policydeploy -getrules policyname -ds /tmp/t1.txt -uds /tmp/t2.txt -dms DMS__@ this command return an error.

policydeploy -getrules policyname -ds /tmp/t1.txt -uds /tmp/t2.txt -dms DMS__@ このコマンドは、エラーを返します。

528

T243831, T243832

UNIX Endpoint User Mode

125

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where sesu generates two surrogate log entries in seos.audit file.

sesu によって seos.audit ファイルに 2 つのサロゲートログエントリが生成されるという、ControlMinder の問題を修正しました。

AC125SP50287

UNIX all

1658

T243834

126

Unix Endpoint User Mode

Fixes an issue with ControlMinder where if one group is defined in XGROUP you cannot add another group as XGROUP.

XGROUP で 1 つのグループが定義されると、別のグループを XGROUP として定義できないという、ControlMinder の問題を修正しました。

AC125SP50289

UNIX all

In a list of the group name in xgid(....), if the one group is detected as existed in database, the rest of the group after this group will be skipped.

xgid(....) のグループ名のリストで、1 つのグループがデータベースに存在するのが検出されると、このグループの後の残りのグループがスキップされます。

xgid(grp1, grp2, ...) We'll have to have none-existed group after an existed group in the xgid group list.

xgid(grp1, grp2, ...) xgid グループリストで、存在するグループの後に存在しないグループが必要です。

Either all group are not in database or all group are in database. Or All none-existance group has to be in the front of the list.

すべてのグループがデータベースに存在しないか、すべてのグループがデータベースに存在するかのいずれか。または、存在しないグループがリストの前にある必要があります。

AC=^auth FILE /tmp/testfile xgid(grp1, grp2, grp3) If there is a group name that is not defined or existed in XGROUP and this group is after a group that is already defined/created in XGROUP, then we'll have a problem. For example, xgi(grp1, grp2, grp3). grp1 is created in XGROUP, but grp2 is not created in XGROUP yet, then we'll have a problem. This is because when grp1 is defined, the implicite creation for the rest of the groups are skipped.

AC=^auth FILE /tmp/testfile xgid(grp1, grp2, grp3) XGROUP に定義されていないか存在しないグループ名があり、このグループが XGROUP ですでに定義/作成されているグループの後である場合、問題が発生します。たとえば、XGROUP で xgi(grp1, grp2, grp3). grp1 が作成されますが、grp2 は XGROUP で作成されていないため、問題が発生します。これは、grp1 が定義されると、残りのグループの暗黙的な作成がスキップされるためです。

1712

T243938, T243939, T243940

127

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where empty resource names are displayed if using _default when running su from cron.

cron からの su の実行時に _default を使用すると、空のリソース名が表示されるという、ControlMinder の問題を修正しました。

AC125SP50290

UNIX all

128

Windows Endpoint User Mode UNIX Endpoint User Mode

Fixes an issue with ControlMinder where DH_WRITER, DMS and DH overloaded and do not respond.

DH_WRITER、DMS および DH がオーバーロードし、応答しないという、ControlMinder の問題を修正しました。

AC125SP50292

Windows all, UNIX all

Missing "Out Of Sync" value when checking if a policy is deployed.

ポリシーがデプロイされているかどうかの確認時に、"Out Of Sync" 値がありません。

This fix should include: For Unix: policyfetcher, seagent. For Windows: policyfetcher.dll, SeoSAgent UI: new AccessControl jar - (this fix only display issue)

この修正プログラムには、以下が含められる必要があります: UNIX の場合: policyfetcher、seagent。 Windows の場合: policyfetcher.dll、SeoSAgent UI: 新規 AccessControl jar - （これで修正されるのは、表示の問題のみです）。

Workaround: redeploy the policy on the host with issue.

回避策: 問題があるホストにポリシーを再デプロイします。

When a policy become "Out Of Sync" you cannot undeploy the policy and the deployment object created with a FAIL status. also, in the UI there is a display issue: you cannot see this status in the "view host" and wen you try to redeploy a policy.

ポリシーが "Out Of Sync" になると、ポリシーをデプロイ解除できず、デプロイメントオブジェクトは FAIL ステータスで作成されます。また、UI に表示の問題が発生します: このステータスは、"ホストの表示" で、およびポリシーの再デプロイ時に表示できません。

538

T5P7103

129

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the ReportAgent experienced memory leaks.

ReportAgent でメモリリークが発生するという、ControlMinder の問題を修正しました。

AC125SP50294

Windows all

The pmd shapshots of DH_ and DH_WRITER consuming significan memory, are redundant.

非常にメモリを消費する DH_ および DH_WRITER の pmd スナップショットは冗長です。

540

T5P7111

130

UNAB

Fixes an issue with UNAB where containers have additional spaces in their names.

コンテナの名前に余計なスペースがあるという、UNAB の問題を修正しました。

AC125SP50295

UNIX all

131

Unix Endpoint User Mode

Fixes an issue with ControlMinder where the ReportAgent experienced memory leaks.

ReportAgent でメモリリークが発生するという、ControlMinder の問題を修正しました。

AC125SP50298

UNIX all

Report Agent periodically terminates and watchdog should start it again.

Report Agent は定期的に終了するため、 watchdog でそれを再起動する必要があります。

Watchdog periodically starts report agent according to configuration

Watchdog は、設定に応じて、定期的にレポートエージェントを起動します。

540

T5P7111

132

Windows Endpoint User Mode

Fixes an issue with ControlMinder where N FILE entries are displayed instead of D FILE entries in Audit.

Audit で、D FILE エントリではなく N FILE エントリが表示されるという、ControlMinder の問題を修正しました。

AC125SP50299

Windows all

1. Install R12.5 SP5 EP

1. R12.5 SP5 EP をインストールします。

2. Create a file resource with defacc none and audit all

2. defacc none および audit all で、ファイルリソースを作成します。

3. Apply testfix (CES 64370 - Deny PROCESS audit is misleading) according

3. Readme に記述されている手順に従って、testfix （CES 64370 - Deny PROCESS audit is misleading）を適用します。

to the steps described in readme.

4. Open the File

4. ファイルを開きます。

133

Unix Endpoint User Mode

Fixes an issue with ControlMinder where the ability to specify JAVA garbage collector parameters for JVM tuning has been added.

JVM チューニング用に JAVA ガベージコレクタのパラメータを指定する機能が追加されているという、ControlMinder の問題を修正しました。

AC125SP50303

Linux all

Add GC optional parameters.

GC オプションパラメータを追加します。

540

T5P7112, T5P7113, T5P7114, T5P7116, T5P7117, T5P7118, T5P7119, T5P7120

134

UNAB

Fixes an issue with UNAB where UNIX groups are not shown for user in case the UNIX attribute tool is installed in another domain.

UNIX 属性ツールが別のドメインにインストールされている場合に、ユーザの UNIX グループが表示されないという、UNAB の問題を修正しました。

AC125SP50308

Unix all

Extract the domain from the user LDAP path to query the groups which have GID, instead of using the computer domain.

コンピュータドメインを使用するのではなく、ユーザ LDAP パスからドメインを抽出して、GID を持つグループをクエリします。

Install the UNIX attribute tool on domain A. using ADUC browse to domain B. see that the user UNIX groups are from domain A and not from domain B.

ドメイン A に UNIX 属性ツールをインストールします。 ADUC を使用して、ドメイン B を参照します。ユーザ UNIX グループがドメイン A からで、ドメイン B からではないことを確認します。

135

Unix Endpoint User Mode

Fixes an issue with ControlMinder where selogrd displays hostname in digits (IP).

selogrd でホスト名が数字（IP）で表示されるという、ControlMinder の問題を修正しました。

AC125SP50309

UNIX all

There are a set of default options set for "seaudit -a"; There is no such default options for selogrd. or the default options is not set properly for selgord.

"seaudit -a" に対してデフォルトのオプションセットが設定されています。 selogrd では、そのようなデフォルトオプションはありません。または、selgord に対してデフォルトオプションが適切に設定されていません。

Please add the following to the file /opt/CA/AccessControl/log/seoslogr.cfg.

以下をファイル /opt/CA/AccessControl/log/seoslogr.cfg に追加してください。

1698

T243892, T243893, T243894, T243895, T243896, T243897, T243898, T243899

rule1

file /tmp/dh.log

rule2

host localhost

Please start up selogrd and selogrcd.

selogrd および selogrcd を起動してください。

Please perform a telnet login so that a LOGIN record is generated.

Run "seaudit -a", and check the LOGIN record. You should see HOSTNAME instead of IP for LOGIN record.

"seaudit -a" を実行し、LOGIN レコードを確認します。LOGIN レコードに対して、IP ではなく HOSTNAME が表示されるはずです。

Please check /tmp/dh.log, and look for the LOGIN records. the HOSTNAMEs are in IP address.

/tmp/dh.log を確認し、LOGIN レコードを探します。HOSTNAME が IP アドレスで表示されます。

136

Windows Endpoint User Mode

Fixes an issue with ControlMinder where devcalc returns incorrect results when wildcard * is used in selang command.

selang コマンドでワイルドカード * が使用されると、devcalc が不正な結果を返すという、ControlMinder の問題を修正しました。

AC125SP50310

Windows all

System variable is still used in ruleset. We need to resolve the system variables.

ルールセットで、システム変数がまだ使用されています。システム変数を解決する必要があります。

We'll have to create policy using system variable such as %SystemRoot% or %COMPUTERNAME% in the policy rules if we want to reproduce the problem.

問題を再現する場合は、ポリシールールで、%SystemRoot% または %COMPUTERNAME% などのシステム変数を使用して、ポリシーを作成する必要があります。

Please use the fix DevCalcAPI.dll.

修正プログラム DevCalcAPI.dll を使用してください。

1680

T243907

137

UNIX Endpoint Kernel Mode

Fixes an issue where ControlMinder blocks signals when class PROCESS is off.

クラス PROCESS がオフの場合、ControlMinder がシグナルをブロックするという問題を修正しました。

AC125SP50311

Solaris

1699

TC61210

138

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the ACEE table grows when a user is defined with a short name in the database.

データベースでショートネームを使用してユーザが定義されると、ACEE テーブルのサイズが大きくなるという、ControlMinder の問題を修正しました。

AC125SP50312

Windows all

Syncronization issue, when termination of the DMS, the main PMD process is closing the database, while its client process still handling a command (writing to the database)

DMS 終了時の同期の問題。クライアントプロセスがまだコマンドの処理（データベースへの書き込み））を行っている一方で、メイン PMD プロセスがデータベースを終了します。

1. Fix the memory growing issue. 2. Fix the shutting down issue

1. メモリサイズが増加する問題を修正します。 2. シャットダウンに関する問題を修正します。

1. to create the memory growing issue, run the DMS in debug mode (sepmdd -debug), use a user with short name i.e gatof01 instead of TANT-A01gatof01, to send a commands using "selang" -f to the DMS, after a while you will see an error - the ACCEE table reallocate.

1. メモリが増大する問題を再現するには、デバッグモード（sepmdd -debug）で DMS を実行し、ショートネーム（つまり、TANT-A01gatof01 ではなく、gatof01）のユーザを使用し、DMS に対して "selang" -f を使用して、コマンドを送信します。しばらくすると、「エラー - ACCEE テーブルが再割り当てされました」というメッセージが表示されます。

544

RO45510

2. send many commands to the DMS (using selang -f and propagated from the DH) shutdown the DMS and see that when the DMS start its try to rebuild its database

2. 多数のコマンドを DMS（selang -f を使用し、DH からプロパゲートされた）に送信し、DMS を停止し、DMS の起動時に、データベースの再構築を試行するのを確認します。

3. Working with AES, send many commands to the DMS from different processes in parallel.

3. AES を使用して、並行する異なるプロセスから DMS へ、多数のコマンドを送信します。

139

UNAB

Fixes an issue with UNAB where uxconsole core dumps occurs on user registration.

ユーザ登録時に uxconsole コアダンプが生成されるという、UNAB の問題を修正しました。

AC125SP50314

AIX

1.Install unab on a AIX box

1. unab を AIX ボックスにインストールします。

1649

T243870, T243873, T243874, T243875, T243876, T243877

2.rm -rf /var/krb5/security/creds

3.Register unab

3. unab を登録します。

uxconsole -register

140

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the terminal rule do no work if the terminal name is defined as an IP address.

端末名が IP アドレスとして定義されていると、端末ルールが機能しないという、ControlMinder の問題を修正しました。

AC125SP50315

Windows all

Defined the hostname in ..\etc\hosts, then the problem is resolved.

..\etc\hosts でホスト名を定義してから、問題を解決します。

1597

T243761, T243762, T243763, T243764

141

UNAB

Fixes an issue with UNAB where installation does not install CAWIN on HP-UX 11.11.

インストールを実行しても、HP-UX 11.11 に CAWIN がインストールされないという、UNAB の問題を修正しました。

AC125SP50317

HP-UX

cm_postinstall.sh only installs CAWIN if it is running HP-UX 11.23 and 11.31.

cm_postinstall.sh で HP-UX 11.23 および 11.31 を実行している場合、cm_postinstall.sh のみが CAWIN をインストールできます。

HP-UX 11.11

Make cm_postinstall.sh handle HP-UX 11.11.

cm_postinstall.sh ハンドル HP-UX 11.11 を作成します。

On an HP-UX 11.11 system without CAWIN installed, install UNAB. CAWIN will not get installed.

CAWIN がインストールされていない HP-UX 11.11 へ、UNAB をインストールします。 CAWIN はインストールされません。

T3E7139

142

Unix Endpoint User Mode

Fixes an issue with ControlMinder where file permissions are not changed to the original or prior to installation permission setting.

ファイル許可が元の/以前のインストール許可設定に変更されないという、ControlMinder の問題を修正しました。

AC125SP50319

UNIX all

To modify a file is actually create a new file.

ファイルを変更すると、実際には新規ファイルが作成されます。

problem can be reproduced in AC installation and AC uninstallation.

問題は、AC のインストールおよびアンインストールで再現できます。

none

なし。

1. Modify file permissions of /etc/pam.d/system-auth to 600.

1. /etc/pam.d/system-auth のファイル許可を 600 に変更します。

2. Install Access Control and the file permissions will change to 644.

2. Access Control をインストールします。ファイル許可が 644 に変更になります。

3. Uninstall Access Control.

3. Access Control をアンインストールします。

4. The file permissions will be still set as 644.

4. ファイル許可は 644 に設定されたままです。

143

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where kernel memory leak happens in the realpath cache.

realpath キャッシュで、カーネルメモリリークが発生するという、ControlMinder の問題を修正しました。

AC125SP50320

Solaris

Memory leak in realpath cache.

realpath キャッシュのメモリリーク。

1700

TC61213

144

UNAB

Fixes an issue with UNAB where uxauthd.sh fails to start uxauth daemon on global zone

グローバルゾーンで、uxauthd.sh が uxauth デーモンの起動に失敗するという、UNAB の問題を修正しました。

AC125SP50321

Solaris Zones

T5P7134

145

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where a user who changes identity using the su command is viewed as a new user when viewed with the sewhoami command.

sewhoami コマンドで表示した場合に、su コマンドを使用して ID を変更したユーザが新規ユーザとして表示されるという、ControlMinder の問題を修正しました。

AC125SP50324

UNIX all

1701

TC61214, TC61215

146

Unix Endpoint User Mode

Fixes an issue with ControlMinder where blank message appears in syslog on shutdown

シャットダウン時に、syslog にブランクメッセージが表示されるという、ControlMinder の問題を修正しました。

AC125SP50326

Solaris

147

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where a blank message appears is syslog on shutdown on Solaris.

Solaris でのシャットダウン時に、syslog にブランクメッセージが表示されるという、ControlMinder の問題を修正しました。

AC125SP50327

Solaris

The stub_execve has changed so the position of the call offset is off by 2 bytes.

stub_execve が変更されたため、コールオフセットの位置が 2 バイトオフになりました。

SLES 11 sp1 X64 with kernel 2.6.32.46

カーネル 2.6.32.46 の SLES 11 sp1 X64。

Running prior to this fix on SLES 11sp1 with kernel 2.6.32.46 and above will cause a panic at start up of AC.

カーネルが 2.6.32.46 以降の SLES 11sp1 で、この修正プログラムより前のバージョンを実行すると、AC の起動時にパニックが発生します。

1697

T540124

RO45989

148

Unix Endpoint User Mode

Fixes an issue with ControlMinder where devcalc returns incorrect result when wild char * is used in selang command.

selang コマンドでワイルドカード「*」が使用されると、devcalc で不正な結果が返されるという、ControlMinder の問題を修正しました。

AC125SP50329

Unix all

1680

T243862, 243863, T243864

149

UNIX Endpoint Kernel Mode

Fixes an issue where ControlMinder fails to start on OEL 5.7 kernel.

OEL 5.7 カーネル上で、ControlMinder の起動に失敗するという問題を修正しました。

AC125SP50333

Linux

OS kernel update

OS カーネル更新。

OEL 5.7 UEK kernel 2.6.32-300.3.1.eluek

OEL 5.7 UEK カーネル 2.6.32-300.3.1.eluek。

Patch OEL 5.7 to UEK kernel 2.6.32-300.3.1.eluek and Access Control will not load and start

パッチ OEL 5.7 を UEK カーネル 2.6.32-300.3.1.eluek に適用すると、Access Control はロードも起動もしなくなります。

1703

T540114, T540115, T540116, T540117

150

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where a user surrogating to a new user, ControlMinder user viewed with sewhoami command is the new user.

新規ユーザを代理実行する ControlMinder が、sewhoami コマンドで新規ユーザとして表示されるという、ControlMinder の問題を修正しました。

AC125SP50335

UNIX all

1701

TC61214, TC61215

151

Windows Endpoint User Mode

Fixes an issue with ControlMinder where silent setup specifies feature incorrectly.

サイレントセットアップにおける機能の指定が正しく行われないという、ControlMinder の問題を修正しました。

AC125SP50338

Windows all

After AC silent setup with (or without by default) option ADV_POLICY_MNGT_CLIENT=0 disabling install of Advance Policy Management Client. Example: setup.exe /s /v" /qn COMMAND=proceed ADV_POLICY_MNGT_CLIENT=0 /L*v c:ACinstall.log".

オプション ADV_POLICY_MNGT_CLIENT=0 で（デフォルトでは、なしで） AC サイレントセットアップ後に、Advance Policy Management Client のインストールを無効にします。例: setup.exe /s /v" /qn COMMAND=proceed ADV_POLICY_MNGT_CLIENT=0 /L*v c:ACinstall.log" 。

152

Windows Endpoint User Mode

Fixes an issue with ControlMinder where new messages from English were missing in Japanese.

英語の新規メッセージが日本語では表示されないという、ControlMinder の問題を修正しました。

AC125SP50339

UNIX all

Cannot send kill signal from JP1 when AC is running.

AC の実行時に、kill シグナルを JP1 から送信できません。

1705

TC61220, TC61222

153

Unix Endpoint User Mode

Fixes an issue with ControlMinder where join command from UNIX, failed to execute on Windows NT.

Windows NT 上で、UNIX の join コマンドが失敗するという、ControlMinder の問題を修正しました。

AC125SP50341

Unix all

Join Translation function is skipped.

Join Translation 機能がスキップされます。

Send a command from a Unix machine to a NT machine. For example. In a unix box, run "host pmdb1@windows_machine" and then run "join testuser group(testgrp) nt" The join command will fail in the NT side.

UNIX マシンから NT マシンにコマンドを送信します。例： UNIX ボックスで、"host pmdb1@windows_machine" を実行してから、"join testuser group(testgrp) nt" を実行します。 NT 側で、join コマンドが失敗します。

1. create pmdb on Windows AC and subscribe localhost =^ selang AC=^ env pmd AC(pmd)=^ createpmd pmdb1 AC(pmd)=^ subs pmdb1 subs(localhost) AC(pmd)=^ subspmd parentpmd(pmdb1@localhost) 2. create root user and authorize to terminal on pmdb and subscriber AC(pmd)=^ env ac AC=^ host pmdb1@ AC=^ eu root admin auditor AC=^ er terminal ^=hostname of unix=^ own(nobody) defacc(r) AC=^ auth terminal ^=hostname of unix=^ id(root) acc(a) 3. change passwd.passwd_format to NT on Unix AC 4. log into windows pmdb from unix AC and create new group and user # selang AC=^ host pmdb1@^=windows hostname=^ AC=^ ng testgrp nt AC=^ nu testuser password(testuser) 5. confirm testuser is not member of testgrp on both AC/NT environment on both pmdb/subscriber AC=^ sg testgrp nt AC=^ host ^=windows hostname=^ AC=^ sg testgrp nt 6. join new user to new group created step 4 on both AC/NT environment from pmdb AC=^ host pmdb1@^=windows hostname=^ AC=^ join testuser group(testgrp) nt 7. check testuser is joined to testgrp both on AC/NT environment on both pmdb/subscriber AC=^ sg testgrp nt -=^ testuser is listed as member; work as expected on pmdb AC=^ host ^=windows hostname=^ AC=^ sg testgrp nt -=^ testuser is listed as member on AC env but NOT on native env. From OS native tool, testuser is not member of testgrp. This is the problem!

1. Windows NT 上で pmdb を作成し、ローカルホストをサブスクライブします。 =^ selang AC=^ env pmd AC(pmd)=^ createpmd pmdb1 AC(pmd)=^ subs pmdb1 subs(localhost) AC(pmd)=^ subspmd parentpmd(pmdb1@localhost) 2. root ユーザを作成し、pmdb およびサブスクライバ上の端末への許可を与えます。 AC(pmd)=^ env ac AC=^ host pmdb1@ AC=^ eu root admin auditor AC=^ er terminal ^=hostname of unix=^ own(nobody) defacc(r) AC=^ auth terminal ^=hostname of unix=^ id(root) acc(a) 3. Unix AC 上で、passwd.passwd_format を NT に変更します。 4. Unix AC から Windows pmdb にログインし、新規グループおよびユーザを作成します。 # selang AC=^ host pmdb1@^=windows hostname=^ AC=^ ng testgrp nt AC=^ nu testuser password(testuser) 5. AC/NT の両方の環境の pmdb/サブスクライバの両方で、testuser が testgrp のメンバではないことを確認します。 AC=^ sg testgrp nt AC=^ host ^=windows hostname=^ AC=^ sg testgrp nt 6. AC/NT の両方の環境で、新規ユーザを pmdb から手順 4 で作成した新規グループへ追加します。 AC=^ host pmdb1@^=windows hostname=^ AC=^ join testuser group(testgrp) nt 7. AC/NT の両方の環境の pmdb/サブスクライバの両方で、testuser が testgrp に追加されていることを確認します。 AC=^ sg testgrp nt -=^ testuser is listed as member; work as expected on pmdb AC=^ host ^=windows hostname=^ AC=^ sg testgrp nt -=^ testuser は、AC 環境ではメンバとしてリスト表示されますが、ネイティブ環境では表示されません。 OS ネイティブツールから、testuser は testgrp のメンバとして表示されません。これは問題です。

154

UNAB

Fixes an issue with UNAB where database busy errors return from NSS.

NSS からデータベースビジーエラーが返されるという、UNAB の問題を修正しました。

AC125SP50342

Linux x64

nss_uxauth closes the current SQLite3 handle and open a new one for a process after a fork. SQLite3 does not support using a handle after a fork.

フォーク実行後に、nss_uxauth は現在の SQLite3 ハンドルをクローズし、プロセスの新規ハンドルをオープンします。 SQLite3 は、フォーク実行後のハンドルの使用をサポートしていません。

TC61224, TC61225

155

UNAB

Fixes an issue with UNAB where uxauthd daemon crash when user DN contains PU with 'DC '

DC ' でユーザ DN に PU が含まれている場合、uxauthd デーモンがクラッシュするという、UNAB の問題を修正しました。

AC125SP50343

Solaris

uxauthd crash when user DN conatained PU with 'DC ' inside

ユーザ DN に 'DC ' が内部にある PU が含まれている場合、uxauthd はクラッシュします。

156

Windows Endpoint User Mode

Fixes an issue where ControlMinder does not accept special characters !"#$%&'()=~|.

ControlMinder で特殊文字、!"#$%&'()=~| が使用できないという問題を修正しました。

AC125SP50344

Windows all

The root cause of the problem is selang didn't escape the char "|".

この問題の根本原因は、selang が文字 "|" をエスケープしないことにあります。

AC=^ so password(rules(prohibited(!"#$%&'()=~|\)))

run the command below, AC=^ so password(rules(prohibited(!"#$%&'()=~|\))) you will see the problem.

以下のコマンドを実行します。 AC=^ so password(rules(prohibited(!"#$%&'()=~|\))) 問題が発生します。

157

Unix Endpoint User Mode

Fixes an issue with ControlMinder where seagent consumes high CPU usage occasionally.

seagent の CPU 使用率が時々高くなるという、ControlMinder の問題を修正しました。

AC125SP50347

Unix all

Seagent make an tcp/ip call and that call is trapped in an endless loop.

Seagent は tcp/ip コールを行い、このコールは無限ループでトラップされます。

There is no solid answer here. It could be that we'll have to have a busy network environment to reproduce the problem.

ここでは、明確な答えはありません。問題を再現するには、ビジーなネットワーク環境が必要かもしれません。

There are no steps to reproduce the problem. The problem happens in the client's environment only. It may has something to do with their busy network trafic.

この問題を再現する手順はありません。問題が発生するのは、クライアントの環境においてのみです。ネットワークトラフィックが非常に多いことが関係している可能性があります。

1708

T243922

158

Windows Endpoint User Mode

Fixes an issue with ControlMinder where an upgrade policy fails if a policy contains a deleted version of that policy

ポリシーにそのポリシーの削除されたバージョンが含まれている場合、アップグレードポリシーが失敗するという、ControlMinder の問題を修正しました。

AC125SP50349

Windows all, UNIX all

Policy fails if a policy contains a deleted version.

ポリシーに削除されたバージョンが含まれている場合、ポリシーは失敗します。

UNIX Endpoint User Mode

159

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where a defect in getvar.sh resulted in wrong OSMD and wrong SEOS_syscall link on AIX 7.1 TL01

AIX 7.1 TL01 で、getvar.sh の不具合が原因で OSMD および SEOS_syscall リンクに間違いがあるという、ControlMinder の問題を修正しました。

AC125SP50352

AIX

AIX - OSMD wrongly calculated by getvar and thus SEOS_syscall link was missing.

AIX - getvar による OSMD の計算に間違いがあり、そのため SEOS_syscall リンクが存在しません。

1711

T3E7143

160

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the audit filter does not work on internal rules records.

内部ルールレコードに対して監査フィルタが機能しないという、ControlMinder の問題を修正しました。

AC125SP50354

Windows all

The FILE entry in audit,cfg does not stop writing records generated by access to protected internally AC file resources.

audit,cfg 内の FILE エントリは、内部的に保護された AC ファイルリソースへのアクセスによって生成されたレコードの書き込みを停止しません。

Add following filter to audit.cfg FILE;C:Program FilesCAAccessControlData*;*;*;*;D Access or try to create file in AC/Data/help, e.g. echo 123 =^ "C:Program FilesCAAccessControlDatahelptest" First time the denial record is filtered out, but after following repeat calls the denial records appears in audit log.

以下のフィルタを audit.cfg に追加します。 FILE;C:Program FilesCAAccessControlData*;*;*;*;D AC/Data/help で、ファイルへのアクセスまたは作成を試行します。例： echo 123 =^ "C:Program FilesCAAccessControlDatahelptest" 最初、否認レコードはフィルタによって除外されますが、次の繰り返しコールの後に、否認レコードは監査ログに表示されます。

525

T5P7093, T5P7150

RO48001

161

Windows Endpoint User Mode

Fixes an issue with ControlMinder where memory leak occurs with seosagent when commands are continuously sent to the DMS and DH__WRITER.

コマンドが継続的に DMS および DH__WRITER に送信されると、seosagent でメモリリークが発生するという、ControlMinder の問題を修正しました。

AC125SP50358

Windows all

162

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where selogrd crashed on USER TRACE record which was configured to route target "syslog".

ターゲット "syslog" をルーティングするように設定された USER TRACE レコードで selogrd がクラッシュするという、ControlMinder の問題を修正しました。

AC125SP50359

UNIX all

The format patterns in message sent to syslog are interpreted by syslogd itself causing MSE in selogrd.

syslog に送信されるメッセージのフォーマットパターンは、selogrd で MSE を引き起こす syslogd 自体によって解釈されます。

1706

T5P7139, T5P7141, T5P7142, T5P7143, T5P7144

163

Unix Endpoint User Mode

Fixes an issue with ControlMinder where the watchdog daemon does not send timer events to seosd.

watchdog デーモンがタイマイベントを seosd に送信しないという、ControlMinder の問題を修正しました。

AC125SP50360

Unix all

The wachdog maintains dynamic queue of events to be handled. After handling current event watchdog removes it from queue. When all events are done the watchdog is refreshing queue adding all internal events again to queue. The problem is that some handlers add new event to queue. As result queue is never empty and watchdog does not add internal events to queue.

watchdog は、処理するイベントの動的キューを保持します。現行イベントを処理すると、watchdog はそれをキューから削除します。すべてのイベントの処理が完了すると、watchdog はキューをリフレッシュし、すべての内部イベントを再度キューに追加します。問題は、一部のハンドラが新規イベントをキューに追加することです。その結果、キューは決して空にはならず、watchdog は内部イベントをキューに追加しません。

The AC DB has extended policy including many untrusted programs. The watchdog checks programs trust status and generates new events to be handled.

AC DB に、多くの untrusted プログラムが含まれている拡張ポリシーがあります。 watchdog はプログラムの trust ステータスを確認してから、処理する新規イベントを生成します。

Change watchdog timer handler, after sending timer message put event again to watchdog queue.

watchdog タイマハンドラを変更します。タイマメッセージの送信後、イベントを再度 watchdog キューに追加します。

ACEE table leak reproduced with customer's DB and seos.ini

カスタマの DB および seos.ini で、ACEE テーブルリークが再現されます。

1710

T3DB100

164

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the wrong session id maps in EXE record for KBL

間違ったセッション ID が KBL の EXE レコードにマップされるという、ControlMinder の問題を修正しました。

AC125SP50363

UNIX all

1.) Install AC.

1.) AC をインストールします。

2.) create a user in selang

2.) selang でユーザを作成します。

nu demo password(demo) audit(interactive).

3.) enable kbl token in seos.ini file.

3.) seos.ini ファイルで kbl トークンを有効にします。

4.) restart the services.

4.) サービスを再起動します。

5.) do login attempts using telnet.

5.) Telnet でログインします。

6.) check for seaudit -kbl with all switches.

6.) seaudit -kbl ですべてのスイッチをチェックします。

165

Unix Endpoint User Mode

Fixes an issue with ControlMinder where an unexpected output was received from "who am i" after switching user.

ユーザの切り替え後、"who am i" から予期しない出力が受信されるという、ControlMinder の問題を修正しました。

AC125SP50368

Unix all

ControlMinder starts new KBL session after "su", then allocates new tty and updates utmp for root.

ControlMinder は、"su" 実行後に、KBL の新規セッションを開始します。次に、新規 tty を割り当て、root の utmp を更新します。

KBL enabled, "root" has audit flag "interactive"

KBL が有効になっていて、"root" に監査フラグ "interactive" があること。

Take user name from seosd when building new utmp record. The seosd keeps originally logged in user.

新規 utmp レコードの作成時に、seosd からユーザ名を取得します。 seosd は、元のログインユーザを保持します。

seos.ini kbl_enabled = yes AC=^ nu test audit(interactive) AC=^ eu root audit(interactive) AC=^ auth program /work/opt/CA/AccessControl/bin/sesudo uid(test) access(a) AC=^ nr sudo su data('/bin/su') defaccess(a) login as user 'test' -sh-3.00$ tty /dev/pts/4 -sh-3.00$ /work/opt/CA/AccessControl/bin/sesudo su [root@ismelx77 /]# tty /dev/pts/5 [root@ismelx77 /]# who am i root pts/5 Feb 28 22:44 (ismesl07.memco.co.il) EXPECT: user "test", not root

1716

T3DB101

166

Unix Endpoint User Mode

Fixes an issue with ControlMinder where devcalc core dumps occurs on start up.

スタートアップ時に devcalc のコアダンプが発生するという、ControlMinder の問題を修正しました。

AC125SP50369

Unix all

Trying to access a database where the global variable is not ready for devcalc.

devcalc 用にグローバル変数の準備ができていないデータベースへアクセスしようとしています。

It happens with commands as follows in ruleset. so class (FILE) flags+(W) so class (PROGRAM) flags+(W) so class (SURROGATE) flags+(W) so class (LOGINAPPL) flags+(W)

これは、ルールセットで、コマンドを以下のように発行すると、発生します。 so class (FILE) flags+(W) so class (PROGRAM) flags+(W) so class (SURROGATE) flags+(W) so class (LOGINAPPL) flags+(W)。

Please apply the fix devcalc.

修正プログラム devcalc を適用してください。

Create a policy with these commands. so class (FILE) flags+(W) so class (PROGRAM) flags+(W) so class (SURROGATE) flags+(W) so class (LOGINAPPL) flags+(W) deploy the policy to an endpoint. AC=^start devcalc Please search for core from devcalc. in my test, it is in root /core.

以下のコマンドで、ポリシーを作成します。 so class (FILE) flags+(W) so class (PROGRAM) flags+(W) so class (SURROGATE) flags+(W) so class (LOGINAPPL) flags+(W)。ポリシーをエンドポイントにデプロイします。 AC=^start devcalc。 devcalc からコアを検索してください。テストしたところ、root/core にありました。

1715

T243943

167

UNAB

Fixes an issue with UNAB where sqlite3 transaction in uxauthd was not terminated after sqlite command failure. This caused database lock and UNAB NSS failed to get user or group information

sqlite コマンドの失敗後に、uxauthd で sqlite3 トランザクションが終了しないという、UNAB の問題を修正しました。これによって、データベースがロックされ、UNAB NSS によるユーザまたはグループ情報の取得に失敗します。

AC125SP50374

Solaris

Steps performed:

実行手順：

1.Install UNAB

1. UNAB をインストールします。

2.Register and Activate

2. UNAB を登録し、アクティブにします。

3.Connect UNAB EP to ENTM

3. UNAB EP を ENTM に接続します。

4.Deploy a Login Policy from ENTM to EP

4. ENTM から EP へ、ログインポリシーをデプロイします。

5.Check the Login policy

5. ログインポリシーを確認します。

6.Check the users/groups using the below commands

6. 以下のコマンドを使用して、ユーザ/グループを確認します。

[root@kirra02-I29813 lbin]# /opt/CA/uxauth/lbin/sqlite3 /opt/CA/uxauth/etc/nss.db "SELECT * FROM pw"

[root@kirra02-I29813 lbin]# /opt/CA/uxauth/lbin/sqlite3 /opt/CA/uxauth/etc/nss.db "SELECT * FROM gr"

7.Try logging with Ad user pushed from ENTM

7. ENTM からプッシュされた Ad ユーザでログインします。

8.Login is sucessfull

8. ログインが成功します。

9.Check /var/log/messages for any errors related to nss db SQL errors.

9. nss db SQL エラーに関連するエラーがないか、/var/log/messages を確認します。

10.No errors found

10. エラーは見つかりません。

168

Windows Endpoint Kernel Mode

Fixes an issue where ControlMinder does not protect remounted DVD drive.

ControlMinder で再マウントされた DVD ドライブが保護されないという問題を修正しました。

AC125SP50375

Windows all

Mount detection code rules out all cases except persistent storage.

マウント検出コードによって、永続的なストレージを除くすべてのケースが無効化されます。

Removed code to filter out volume type.

ボリュームタイプを除外するために、コードを削除します。

169

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the sesu command crashes with core dump.

sesu コマンドがクラッシュし、コアダンプが発生するという、ControlMinder の問題を修正しました。

AC125SP50377

Unix all

"sesu" sends output of getenv("HOME") to sprintf command. In case this env. variable is not defined the sesu sends NULL to sprintf leading to crash.

"sesu" は、getenv("HOME") の出力を sprintf コマンドに送信します。この環境変数が定義されていない場合、sesu は sprintf に NULL を送信し、それが原因でクラッシュします。

unsetenv HOME

Check return value of getenv("HOME")

getenv("HOME") のリターン値を確認します。

unsetenv HOME =^ ./sesu root -c sh Segmentation fault (core dumped)

unsetenv HOME =^ ./sesu root -c sh。セグメンテーションエラー（コアダンプされた）。

1718

T3DB102

170

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where SSH login fails when keyboard logger is enabled

キーボードロガーが有効な場合、SSH ログインが失敗するという、ControlMinder の問題を修正しました。

AC125SP50378

Unix all

Cannot find shared libcrypt

共有 libcrypt が見つかりません。

KBL enabled

KBL 有効。

Remove flag -lcrypt from compilation. The cmdlog does not need it.

フラグ -lcrypt をコンパイルから削除します。 cmdlog はこれを必要としません。

seos.ini kbl_enabled=yes AC=^ eu test audit(interactive) =^ ssh ismesl12 -l test Password: ld.so.1: -sh: fatal: libcrypt_d.so.1: open failed: No such file or directory Connection to ismesl12 closed. ==^ CONNECTION fails

seos.ini kbl_enabled=yes AC=^ eu test audit(interactive) =^ ssh ismesl12 -l test Password: ld.so.1: -sh: fatal: libcrypt_d.so.1: オープンに失敗します: そのようなファイルまたはディレクトリはありません。 ismesl12 への接続がクローズされます。 ==^ 接続が失敗します。

1719

T3DB103

171

Windows Endpoint User Mode

Fixes an issue with ControlMinder where password change is intercepted by eACPasswordFltr and is sent to password pmdb while changing the user to NT AUTHORITYSYSTEM.

ユーザを NT AUTHORITYSYSTEM に変更中に、パスワード変更が eACPasswordFltr によってインターセプトされ、パスワード pmdb に送られるという、ControlMinder の問題を修正しました。

AC125SP50380

Windows all

Hosts command resets changing user with a user obtained by local_seadmapi_WhoAmI() which wss added in 12.SP3(AC1262144).

Hosts コマンドによって、12.SP3（AC1262144）で追加された local_seadmapi_WhoAmI() によって取得されたユーザへのユーザの変更がリセットされます。

User change own password via native passowrd which is managed by PMDB

ユーザが自分のパスワードを、PMDB で管理されるネイティブパスワードを使用して変更しています。

1. User log in GUI and change password with Ctrl+Alt+Del 2. Password change request send to local AC db and passwd_pmd to deliver it. 3. Password change by service user such like NT AUTHORITYSYSTEM on PMD 4. Deliver password by the user who is pwmanager. 5. Set grace(1) since the change is update by Administrative user not himself/herself.

1. ユーザは GUI にログインし、Ctrl+Alt+Del でパスワードを変更します。 2. パスワード変更リクエストは、それを配信するローカル AC db および passwd_pmd に送信されます。 3. PMD 4 上で、NT AUTHORITYSYSTEM などのサービスユーザによってパスワードを変更します。 4. pwmanager であるユーザによって、パスワードを配信します。 5. 変更はユーザ自身ではなく管理ユーザによって更新されるので、grace(1) を設定します。

172

Windows Endpoint User Mode

Fixes an issue with ControlMinder where changing user own password set grace count as admin change

ユーザ自身のパスワード変更が管理ユーザによる猶予数に設定されるという、ControlMinder の問題を修正しました。

AC125SP50381

Windows all

Changing password set grace count as admin change

パスワードの変更が、管理者ユーザにより猶予数として設定されます。

User who password is changed does not exist in password PMDB

パスワードが変更されたユーザが、パスワード PMDB に存在しません。

[Step] 1. Create pmd and configure the local machine as the subscriber. eg) createpmd pmd1 subs pmd1 subs(localmachine) 2. Configure the password pmd, its subscriber is pmdb. eg) subs pass_pmd subs(pmd1@localmachine) HKLMSOFTWAREComputerAssociatesAccessControlPmdpmd1 Parent_pmd=pass_pmd@localmachine 3. Create the user from pmdb and propagate it. 4. change password using the OS function. 5. grace 1 is granted to the local user. In this case, user does not exist in the password pmdb.

［手順］ 1. pmd を作成し、ローカルマシンをサブスクライバとして設定します。例） createpmd pmd1 subs pmd1 subs(localmachine) 2. サブスクライバを pmdb として、パスワード pmd を設定します。例） subs pass_pmd subs(pmd1@localmachine) HKLMSOFTWAREComputerAssociatesAccessControlPmdpmd1 Parent_pmd=pass_pmd@localmachine 3. pmdb からユーザを作成し、それを配布します。 4. OS 機能を使用して、パスワードを変更します。 5. ローカルユーザに猶予 1 が許可されます。この場合、ユーザはパスワード pmdb に存在しません。

529

T4CC129

173

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where login sequence does not work for SSH.

SSH でログインシーケンスが機能しないという、ControlMinder の問題を修正しました。

AC125SP50382

UNIX all

174

UNIX Endpoint User Mode

Fixes an issue with UNAB where multiple restarts occur if installed after ControlMinder installation

ControlMinder のインストール後にインストールした場合、再起動が複数回発生するという、UNAB の問題を修正しました。

AC125SP50384

UNIX all

175

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the ReportAgent stops responding 23:30.

ReportAgent が 23 時 30 分に応答を停止するという、ControlMinder の問題を修正しました。

AC125SP50385

UNIX all

ReportAgent tried to kill itself but used process id 0 or -1.

ReportAgent はそれ自体を kill しようとしましたが、プロセス ID 0 または -1 を使用しました。

Stop ReportAgent.

レポートエージェントを停止します。

1720

TC61229

176

Unix Endpoint User Mode

Fixes an issue with ControlMinder where PACL rules do not apply due to the device number change that occurred after Solaris cluster failover.

Solaris クラスタのフェールオーバ後に発生したデバイス番号の変更が原因で、PACL ルールが適用されないという、ControlMinder の問題を修正しました。

AC125SP50389

Unix all

AC can not find PACL for new device.

AC は新規デバイスの PACL を見つけられません。

Solaris cluster failover.

Solaris クラスタのフェールオーバ。

PACL search use search by full name if failed find by device.

デバイスによる検索が失敗した場合、PACL 検索はフルネームによる検索を使用します。

1724

T3DB105

177

Unix Endpoint User Mode

Fixes an issue with ControlMinder where seosd crashes accessing null pointer.

NULL ポインタへのアクセス時に seosd がクラッシュするという、ControlMinder の問題を修正しました。

AC125SP50390

Unix all

seosd file table search attempt access empty table slot. ----------------------- INTERNAL: Possibly file audit event comes from kernel after file was removed in DB. The seosd cleans both kernel file table and kernel file cache when removing file entry. However possibly event was already routed to seosd while deleting file in DB.

seosd ファイルテーブル検索で、空のテーブルスロットにアクセスします。----------------------- 内部: DB でファイル削除後に、カーネルからファイル監査イベントが発生する可能性があります。ファイルエントリの削除時に、seosd はカーネルファイルテーブルとカーネルファイルキャッシュの両方をクリアします。しかし、DB でのファイル削除時に、イベントはすでに seosd にルーティングされている可能性があります。

Check file table entry before accessing it

アクセスする前に、ファイルテーブルエントリを確認してください。

1725

T3DB106

178

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where system-auth link is erased.

system-auth リンクが消去されるという、ControlMinder の問題を修正しました。

AC125SP50391

Linux

179

Windows Endpoint User Mode

Fixes an issue with ControlMinder where there is no start service type interception for winservice.

winservice に対するサービス開始タイプインターセプトがないという、ControlMinder の問題を修正しました。

AC125SP50404

Windows all

555

T243962, T243963

180

Unix Endpoint User Mode

Fixes an issue with ControlMinder where the wrong user is shown in the password change prompt.

パスワード変更プロンプトに間違ったユーザが表示されるという、ControlMinder の問題を修正しました。

AC125SP50408

Unix all

The SSH loginappl has flag EXECLOGIN. It causes AC to postpone login until next EXEC event. When sepass fetches user name from AC it is still root, despite system login already occured. We cannot remove EXECLOGIN flag from SSH because ot is required for SFTP login

SSH loginappl にフラグ EXECLOGIN があります。これによって、AC は次の EXEC イベントまでログインを延期します。 sepass が AC からユーザ名を取得する際に、システムログインがすでに発生している場合でも、ユーザは依然 root です。 SFTP ログインに必要なため、SSH から EXECLOGIN フラグを削除できません。

Password expired and sepass enabled

パスワードが失効していて、sepass が有効。

Current package implements following solution The AC saves new user name in process table when handles PAM login. Function "seadmapi_WhoAmI" returns user id from process table. The sepass uses returned uid or real user.

現在のパッケージは、以下のソリューションを実装します。 PAM ログインの処理時に、AC は新規ユーザ名を処理テーブルに保存します。ファンクション "seadmapi_WhoAmI" は、処理テーブルからユーザ ID を返します。 sepass は、返されたユーザ ID または実ユーザを使用します。

1. AC rules AC=^ so class-(PASSWORD) AC=^ cr loginappl SSH loginflags(PAMLOGIN EXECLOGIN) AC=^ nu test01 password(password) 2. passwd is renamed and symbolic linked to sepass # mv /usr/bin/passwd /usr/bin/passwd.org # ln -s /opt/CA/AccessControl/bin/sepass /usr/bin/passwd # ls -l /usr/bin/passwd* lrwxrwxrwx 1 root root ... /usr/bin/passwd -=^ /opt/CA/AccessControl/bin/sepass -rwsr-xr-x 1 root root ... /usr/bin/passwd.org 3. seos.ini # seini -s passwd.DefaultPasswdCmd = /usr/bin/passwd.org 4. users password interval is managed by OS chage command # chage -M ^=max days=^ -I ^=inactive days=^ -W :: # chage -M 14 -I -1 -W 5 -d 2012-01-01 test01 5. ssh login by test01 WARNING: Your password has expired. You must change your password now and login again! CA Access Control sepass v12.60.0.1165 - Password replacement Copyright (c) 2010 CA. All rights reserved. Enter root's old password: ==^ promt asks root password while regular user logs in

1. AC rules AC=^ so class-(PASSWORD) AC=^ cr loginappl SSH loginflags(PAMLOGIN EXECLOGIN) AC=^ nu test01 password(password) 2. パスワードの名前が変更され、sepass にシンボリックリンクされます。 # mv /usr/bin/passwd /usr/bin/passwd.org # ln -s /opt/CA/AccessControl/bin/sepass /usr/bin/passwd # ls -l /usr/bin/passwd* lrwxrwxrwx 1 root root ... /usr/bin/passwd -=^ /opt/CA/AccessControl/bin/sepass -rwsr-xr-x 1 root root ... /usr/bin/passwd.org 3. seos.ini # seini -s passwd.DefaultPasswdCmd = /usr/bin/passwd.org 4. ユーザパスワードの間隔は、OS の chage コマンドで管理されます。 # chage -M ^=max days=^ -I ^=inactive days=^ -W :: # chage -M 14 -I -1 -W 5 -d 2012-01-01 test01 5. ssh login by test01 警告: パスワードが失効しています。パスワードを今すぐ変更し、再度ログインする必要があります。 CA Access Control sepass v12.60.0.1165 - Password replacement Copyright (c) 2010 CA. All rights reserved. root の古いパスワードの入力: ==^ 正規ユーザのログイン時に、root のパスワードを尋ねるメッセージが表示されます。

181

UNIX Endpoint Kernel Mode

Fixes an issue where the user looses ControlMinder identity and thus ControlMinder fails to protect resources from that user.

ユーザが ControlMinder ID を失い、その結果 ControlMinder がそのユーザのリソースの保護に失敗するという問題を修正しました。

AC125SP50418

UNIX all

Kernel cache problems.

カーネルキャッシュの問題。

1674

TC61198

182

Unix Endpoint User Mode

Fixes an issue where ControlMinder proceeds to PACL verification even if ACL rule is set none.

ACL ルールがなしに設定されている場合でも、ControlMinder が PACL 検証を実行する問題を修正しました。

AC125SP50419

Unix all

Authorization design

許可の設計。

This package changes AC authorization to proceed to PACL verification even ACL access was defined as none.

ACL アクセスがなしと定義されている場合でも、PACL 検証を行うために、このパッケージは AC 許可を変更します。

1. Set ACL/PACL accumulative in selang options (it is default) 2. Set default access AC=^ ef /QA_tmp/test defaccess(r) 3. Prevent access for user AC=^ auth file /QA_tmp/test uid(test) access(n) 4. Allow access via specific program AC=^ auth file /QA_tmp/test via(pgm(/usr/bin/cat)) uid(test) access(r) 5. Verify access (test)$ cat /QA_tmp/test ==^ access DENY

1. selang オプションで ACL/PACL を累積に設定します（デフォルト設定）。 2. デフォルトアクセスを設定します。 AC=^ ef /QA_tmp/test defaccess(r) 3. ユーザのアクセスを阻止します。 AC=^ auth file /QA_tmp/test uid(test) access(n) 4. 特定のプログラム経由でのアクセスを許可します。 AC=^ auth file /QA_tmp/test via(pgm(/usr/bin/cat)) uid(test) access(r) 5. アクセスを検証します。 (test)$ cat /QA_tmp/test ==^ access DENY

183

UNIX Endpoint User Mode

Fixes an issue where ControlMinder fails to unload.

ControlMinder がアンロードに失敗するという問題を修正しました。

AC125SP50421

Solaris

Seosd did not push/pop AC from/to OS streams

seosd は OS ストリームとの間で AC をプッシュ/ポップしません。

1) Set SEOS_use_streams=yes in seos.ini

1) seos.ini で SEOS_use_streams=yes に設定します。

2) Load and start AC (seload)

2) AC をロードし、起動します（seload）。

3) Open a telnet/SSH session into Soalris 9 machine and leave it open 4) Stop AC (secons -sk) 5) Unload AC (SEOS_load -u)

3) Soalris 9 マシンに対して Telnet/SSH セッションを開始し、それを開いたままにしておきます。 4) AC を停止します（secons -sk）。 5) AC をアンロードします（SEOS_load -u）。

184

UNAB

Fixes an issue where telnet fails on SELinux after UNAB uninstall.

UNAB のアンインストール後、SELinux で Telnet が失敗する問題を修正しました。

AC125SP50424

LINUX all

nsswitch.conf is being modified by the UNAB install, and because of this the file type is changed from etc_t to rpm_script_tmp_t

nsswitch.conf は UNAB インストールによって変更されていて、このため、ファイルタイプは etc_t から rpm_script_tmp_t に変更されます。

SELinux enforcing

SELinux が実行されていること。

On OEL 5u8 Selinux enforcing, telnet works. Set selinux to permissive to install UNAB. Install UNAB, but do not run it. Set selinux to enforcing. telnet / rlogin fail. Set selinux to permissive. Uninstall UNAB Set selinux to enforcing. telnet / rlogin fail.

OEL 5u8 Selinux の実行時に Telnet は機能します。 selinux を制限しないに設定して、UNAB をインストールします。 UNAB をインストールしますが、実行はしません。selinux を実行に設定します。 Telnet/rlogin が失敗します。 selinux を制限しないに設定します。 UNAB をアンインストールします。 selinux を実行に設定します。 Telnet/rlogin が失敗します。

185

UNIX Endpoint Kernel Mode

Fixes an issue where Tivoli agent blocks ControlMinder unload on Linux.

Linux で Tivoli Agent が ControlMinder のアンロードをブロックする問題を修正しました。

AC125SP50427

Linux all

Tivoli Agent was blocked in AC interceptions and thus AC unload fails.

AC インターセプトで Tivoli Agent がブロックされ、そのため AC のアンロードが失敗します。

AC and Tivoli Agent running on the same Linux machine.

AC と Tivoli エージェントが同じ Linux マシン上で実行されていること。

Apply new AC unload exit script.

新規 AC アンロード exit スクリプトを適用します。

Start AC first. Start Tivoli Agent. Try to unload AC.

AC を起動します。次に、Tivoli Agent を起動します。 AC をアンロードします。

1676

TC61200

186

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where wrong authorization results occur for PACL rules.

PACL ルールに対して間違った許可結果が発生するという、ControlMinder の問題を修正しました。

AC125SP50428

UNIX all

Wrong pgm used for kernel cache - resulting wrong cache hits.

カーネルキャッシュに間違ったプログラムを使用 - その結果、間違ったキャッシュがヒット。

1729

T3DB107, T3DB108, T3DB110

187

Windows Endpoint Kernel Mode

Fixes an issue with ControlMinder where wrong authorization results for device protection.

デバイス保護の許可結果が間違っているという、ControlMinder の問題を修正しました。

AC125SP50429

UNIX all

The AC kernel applies incorrect authorization result that is taken from the kernel file cache. From running the debug kernel on the customer environment, we discovered that kernel file cache hits entry for the program "/bin/bash" while real program is "/bin/cat" or "fdisk". This occurs because the file cache uses program "bash" which has the parent process flag TRUSTED_SCRIPT.

AC カーネルは、カーネルファイルキャッシュから取得した不正な許可結果を適用します。ユーザの環境で実行中のデバッグカーネルから、実プログラムが "/bin/cat" または "fdisk" であるのに対し、カーネルファイルキャッシュがプログラム "/bin/bash" のエントリをヒットするのを検出しました。これが発生するのは、ファイルキャッシュが、親プロセスフラグ TRUSTED_SCRIPT を持つプログラム "bash" を使用するためです。

Change file cache to keep both accessing program and parent (old) program. Verify both programs when searching in cache.

アクセスプログラムと親（旧）プログラムの両方を保持するために、ファイルキャッシュを変更します。キャッシュ検索時に、両方のプログラムを検証します。

From custoomer: I add a new disk (turn of the VM, add the disk, restart the VM) and now 1. cat /dev/sde (new device) succeeded, but shouldn't ===^ Not OK 2. fdisk -l succeeded (as planned) ===^ OK 3. Disable F cache table (secons -ktc 3) 4. cat /dev/sde failed ===^ OK 5. fdisk -l succeeded (as planned) ===^ OK 6. secons -ktc 3 Clean F cache table 7. cat /dev/sde failed ===^ OK 8. fdisk -l succeeded (as planned) ===^ OK 9. secons -ktc 2 Enable F cache table !!! This is beyond your test case and see the results !!! 10. cat /dev/sde failed ===^ OK 11. fdisk -l failed ===^ Not OK

custoomer から: 新規ディスクを追加（VM のオフ、ディスクの追加、VM の再起動）し、次に 1. cat /dev/sde (new device) が成功しますが、これはそうなるべきではありません。 ===^ Not OK 2. fdisk -l succeeded (as planned) ===^ OK 3. Disable F cache table (secons -ktc 3) 4. cat /dev/sde failed ===^ OK 5. fdisk -l succeeded (as planned) ===^ OK 6. secons -ktc 3 Clean F cache table 7. cat /dev/sde failed ===^ OK 8. fdisk -l succeeded (as planned) ===^ OK 9. secons -ktc 2 Enable F cache table !!! This is beyond your test case and see the results !!! 10. cat /dev/sde failed ===^ OK 11. fdisk -l failed ===^ Not OK

1729

T3DB107, T3DB108, T3DB110

188

Windows Endpoint User Mode

Fixes an issue with ControlMinder where restriction update failed on Windows x64.

Windows x64 で制限更新が失敗するという、ControlMinder の問題を修正しました。

AC125SP50430

Windows x64

The pointer is not pointing to the right address. It means that we didn't copy the data back the correct location.

ポインタが正しいアドレスをポイントしません。これは、データを正しい場所にコピーできなかったことを意味します。

The problem happens on Windsow X64 only.

問題が発生するのは、Windows x64 のみです。

AC=^env native AC=^eu tt01 resctriction(days(anyday) time(anytime)) Please run the windows command. # net user tt01 Please check the field "Logon Hours allowed", it is set to "None". The correct result should be: Logon Hours allowed All

AC=^env native AC=^eu tt01 resctriction(days(anyday) time(anytime)) Windows コマンドを実行します。 # net user tt01 フィールド "Logon Hours allowed" を確認し、"なし" に設定することを確認してください。正しい結果: Logon Hours allowed All

558

T243969, T243970, T243971

189

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the size of seoswd (watchdog daemon) increases every 24 hours.

seoswd（watchdog デーモン）のサイズが 24 時間間隔で増加するという、ControlMinder の問題を修正しました。

AC125SP50431

UNIX all

Reload watchdog parameters function did not fee seosini Handle.

watchdog パラメータファンクションの再ロードで、seosini ハンドルが解放されません。

Size of seoswd grows every 24 hours.

seoswd のサイズが 24 時間間隔で大きくなります。

Increase RefreshPararms will slow memory grouth [seoswd] RefreshPararms=86400(default in sec)

RefreshPararms を増やすと、メモリの成長が鈍化します [seoswd] RefreshPararms=86400（秒単位のデフォルト）。

1.Start AC 2.Check size of seoswd by ps -el 3.Move syste date one day forward 4.Check size of seoswd by ps -el 5.Repeat 3 and 4 several time

1. AC を起動します。 2. ps -el で、seoswd のサイズを確認します。 3. syste 日付を 1 日前に移動します。 4. ps -el で、seoswd のサイズを確認します。 5. 3 と 4 を数回繰り返します。

1731

T4CC148

190

Windows Endpoint User Mode

Fixes an issue with ControlMinder where AuditHandler did not check audit filtering.

AuditHandler が監査フィルタリングを確認しないという、ControlMinder の問題を修正しました。

AC125SP50432

Windows all

AuditHandler did not check audit filtering.

AuditHandler は監査フィルタリングを確認しません。

Audit record coming form the driver via AuditHandler

AuditHandler 経由でドライバから来る監査レコード。

[procedure] 1. stop AC \=^ secons -s 2. create test directory and file \=^ mkdir TEMP \=^ mkdir TEMP\VB_BIN \=^ echo aaa =^ c:\TEMP\VB_BIN\test.txt 3. create policies editres FILE ("c:TEMP*") audit(ALL) defaccess(READ CHDIR) owner('nobody') authorize FILE ("c:TEMP*") access(READ WRITE DELETE RENAME CREATE EXECUTE CHOWN CHMOD UTIME SEC CHDIR) uid('administrator') 4. start AC 5. access to the directory/file and check audit log \=^ cd temp \=^ cd vb_bin \=^ type test.txt \=^ cd \=^ seaudit -a -sd today some file access log to C:\TEMP\VB_BIN, C:\TEMP\VB_BIN\ and C:\TEMP\VB_BIN\test.txt appears -=^ this is expected 6. add filter in audit.cfg \=^ secons -s add following filter at the last of audit.cfg: *;C:\TEMP\VB_BIN*;Administrator;*;*;* TEST CASE 1 7. do step5 again [expected result] all file access logs are filtered [actual result] some file access logs for C:\TEMP\VB_BIN appears; others such as C:\TEMP\VB_BIN\test.txt are filtered TEST CASE 2 8. \=^ cd temp 9.restat AC 10. \=^ cd vb_bin(type vb_bin but tab key) \=^ cd .. \=^ cd [tab key] \=^ seaudit -a -sd today [expected result] all file access logs are filtered except C:\TEMP* [actual result] all file access logs are filtered

［手順］ 1. AC を停止します。 \=^ secons -s 2. テストディレクトリおよびファイルを作成します。 \=^ mkdir TEMP \=^ mkdir TEMP\VB_BIN \=^ echo aaa =^ c:\TEMP\VB_BIN\test.txt 3. ポリシーを作成します。 editres FILE ("c:TEMP*") audit(ALL) defaccess(READ CHDIR) owner('nobody') authorize FILE ("c:TEMP*") access(READ WRITE DELETE RENAME CREATE EXECUTE CHOWN CHMOD UTIME SEC CHDIR) uid('administrator') 4. AC を起動します。 5. ディレクトリ/ファイルにアクセスし、監査ログを確認します。 \=^ cd temp \=^ cd vb_bin \=^ type test.txt \=^ cd \=^ seaudit -a -sd today some file access log to C:\TEMP\VB_BIN, C:\TEMP\VB_BIN\ and C:\TEMP\VB_BIN\test.txt appears -=^ this is expected 6. audit.cfg にフィルタを追加します。 \=^ secons -s add following filter at the last of audit.cfg: *;C:\TEMP\VB_BIN*;Administrator;*;*;* TEST CASE 1 7. 手順 5 を再度実行します。 [expected result] all file access logs are filtered [actual result] some file access logs for C:\TEMP\VB_BIN appears; others such as C:\TEMP\VB_BIN\test.txt are filtered TEST CASE 2 8. \=^ cd temp 9.AC を再起動します。 10. \=^ cd vb_bin(type vb_bin but tab key) \=^ cd .. \=^ cd [tab key] \=^ seaudit -a -sd today [expected result] all file access logs are filtered except C:\TEMP* [actual result] all file access logs are filtered

559

T4CC165, T4CC166

191

UNIX Endpoint Kernel Mode

Fixes an issue where ControlMinder assigns wrong ACEE after gnome console login.

gnome コンソールでのログイン後、ControlMinder が間違った ACEE を割り当てるという問題を修正しました。

AC125SP50437

Linux

The process "gdm-binary" handles console login. This process never terminates. AC detects console logout when process "gnome-session" exits. Upon gnome-session exit the AC cleans assigned ACEE from all processes including "gdm-binary". In this case, however AC failed to detect end of session and "gdm-binary" kept ACEE of previous session. Here new login gained ACEE of previous session. AC perfroms GDM handling in kernel and checks GDM process comparing program name. The hard-coded string is "/usr/sbin/gdm-binary" while on RH 4 path may differ and could be "/usr/bin/gdm-binary".

プロセス "gdm-binary" はコンソールログインを処理します。このプロセスは、決して終了しません。プロセス "gnome-session" の終了時に、AC はコンソールログアウトを検知します。 gnome-session が終了するとすぐに、AC は割り当てられている ACEE を "gdm-binary" を含むすべてのプロセスからクリアします。しかし、この場合、AC はセッション終了の検知に失敗し、"gdm-binary" は前のセッションの ACEE を保持しました。ここで、新規ログインは前のセッションの ACEE を取得します。 AC はカーネルで GDM 処理を実行し、GDM プロセスの比較するプログラム名を確認します。 RH 4 で、パスが異なり、"/usr/bin/gdm-binary" である可能性がある一方で、ハードコードされた文字列は "/usr/sbin/gdm-binary" です。

Two improvements in this package 1) Compare also "/usr/bin/gdm-binary" 2) decrement ACEE counter when cleaning gdm related ACEE

このパッケージも 2 つの改善事項。 1) "/usr/bin/gdm-binary" も比較。 2) gdm 関連 ACEE のクリーン時に、ACEE カウンタを減らします。

Use gnome (gdm) console to logon 1) login as root, check with sewhoami, and it reports "root" - correct Then logout as root 2) login as testusr, run sewhoami and the report is "testusr" - correct. Then logout. 3) login again as root , execute sewhoami, but the report is "testusr" from previous login. Also cannot perform many root function.

gnome (gdm) コンソールを使用してログオンします。 1) root としてログインし、sewhoami で確認し、"root" - 正常と報告します。次に、root としてログアウトします。 2) testusr としてログインし、sewhoami を実行し、レポートは "testusr" - 正常です。次に、ログアウトします。 3) root としてログインし、sewhoami を実行し、レポートは前のログインからの "testusr" です。また、root の多数の機能を実行できません。

1733

T3DB112, T3DB113

192

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the SSH login session freezes when running a lot of output and the keyboard logger is enabled.

多量の出力を実行中で、キーボードロガーが有効な場合、SSH ログインセッションがフリーズするという、ControlMinder の問題を修正しました。

AC125SP50438

UNIX all

Logger and communication threads enter deadlock because of wrong queue counter.

間違ったキューカウンタが原因で、ロガーと通信スレッドがデッドロック状態になります。

1736

TC61243, TC61244, TC61245, TC61246, TC61247, TC61248

193

Windows Endpoint User Mode

Fixes an issue with ControlMinder where user is unable to log in with hosts command after creating pmdb by createpmd <name>.

createpmd <名前> で pmdb 作成後に、ユーザが hosts コマンドでログインできないという、ControlMinder の問題を修正しました。

AC125SP50439

Windows all

createpmd add acl for user +reportagent to local host which was found by gethostname(). This caused to add another terminal without FQDN which does not allo to log in AC admin.

createpmd は、ユーザ +reportagent の acl を、gethostname() で検出されたローカルホストに追加します。これによって、AC admin でのログインを許可していない FQDN なしで、別の端末が追加されます。

Hosts file include local host name with FQDN while canon name has FQDN.

canon 名に FQDN がある一方で、Hosts ファイルに、FQDN があるローカルホスト名が含まれています。

1. Install AC with FQDN and domain administrator. 2. create PMDB 3. access PMDB with host command in selang. Expected Result: User can log in normally. Actual Results: User cannot log in with following error: AC=^ host ppmd1@ (ppmd1@localhost) ERROR: Login procedure failed ERROR: You are not allowed to administer this site from terminal hatto01-I41733 At log in to localdb: 08 May 2012 07:45:59 P LOGIN HTESTadministrator 54 10 hatto01-I41733.htest.inc selang At log in to PMDB: 08 May 2012 07:35:38 D LOGIN HTESTadministrator 69 10 hatto01-I41733 selang

1. FQDN およびドメインアドミニストレータの権限で、AC をインストールします。 2. PMDB を作成します。 3. selang の host コマンドで、PMDB にアクセスします。予期される結果: ユーザは正常にログインできます。実際の結果: ユーザはログインできず、以下のエラーが表示されます: AC=^ host ppmd1@ (ppmd1@localhost) エラー: ログインプロシージャが失敗しました。エラー: 端末 hatto01-I41733 からこのサイトを管理する権限がありません。 localdb へのログイン時: 08 May 2012 07:45:59 P LOGIN HTESTadministrator 54 10 hatto01-I41733.htest.inc selang PMDB へのログイン時: 08 May 2012 07:35:38 D LOGIN HTESTadministrator 69 10 hatto01-I41733 selang

194

Windows Endpoint User Mode

Fixes an issue with ControlMinder where performance issues occur in sub authentication when ControlMinder is installed on a domain controller.

ControlMinder がドメインコントローラにインストールされていると、サブ認証でパフォーマンスの問題が発生するという、ControlMinder の問題を修正しました。

AC125SP50441

Windows all

The problem is that Ac authorization is too long per each event. Addtionally AC serialize the events to be handled one at a time.

問題は、各イベントあたりの AC 許可が長すぎることにあります。また、AC は処理するイベントを 1 回に 1 つづつシリアル化します。

Installing AC on a domain contoller makes the problem very visible as many logons from all domain's members are channeleing into AC sub authentication.

AC をドメインコントローラにインストールすると、問題が非常に明快になります。これは、すべてのドメインメンバからの多数のログオンが AC サブ認証へとチャネリングされるためです。

Install AC on a domain controller and perform perfomance stress as it is describe in the issue: 20968962. With default configuration: the difference in the numbers between running the tests when AC is running and AC is not running is very large and unaccepted.

AC をドメインコントローラにインストールし、問題: 20968962 に記述されているように、パフォーマンスストレスを実行します。デフォルト設定: AC が実行中の場合と実行中でない場合のテストの実行では、数の相違が非常に大きく、承認できません。

564

T5P7094

T5P7193

RO48002

195

Unix Endpoint User Mode

Fixes an issue with ControlMinder where pmd error log is not printed.

pmd エラーログが印刷されないという、ControlMinder の問題を修正しました。

AC125SP50442

Linux x64

Record template between server and client side mismatch

サーバ側とクライアント側の間で、レコードテンプレートが一致しません。

sepmd 64 bit binary

sepmd 64 ビットバイナリ。

1. install AC12.5 SP3 x64 version on RHEL 2. create PMDB0 as parent pmd 3. set parent_pmd token as PMDB0@^=host name=^ 4. subscribe AC endpoint to PMDB0 # sepmd -s PMDB0 ^=host name=^ 5. start selang and connect to PMDB0 # selang AC=^ host PMDB0@ AC=^ eu TEST owner(testuser) (PMDB0@localhost) ERROR: Failed to fetch data for USER/GROUP testuser AC=^ exit *note: testuser is not existed on AC/PMDB to get above error purposely 6. check PMDB0 error information as below # cd /^=AC-install-dir=^/policies/PMDB0 # ls -l ERR* -rw------- 1 root root 235 May 10 11:11 ERROR_LOG * looks some data are written, but # sepmd -e PMDB0 CA Access Control sepmd v12.53.0.1517 - Policy Model management Copyright (c) 2010 CA. All rights reserved. * not shown any error

1. AC12.5 SP3 x64 バージョンを RHEL にインストールします。 2. PMDB0 を親 pmd として作成します。 3. parent_pmd を PMDB0@^=host name=^ に設定します。 4. AC エンドポイントを PMDB0 にサブスクライブします。 # sepmd -s PMDB0 ^=host name=^ 5. selang を開始し、PMDB0 に接続します。 # selang AC=^ host PMDB0@ AC=^ eu TEST owner(testuser) (PMDB0@localhost) ERROR: Failed to fetch data for USER/GROUP testuser AC=^ exit *note: testuser is not existed on AC/PMDB to get above error purposely 6. 以下の PMDB0 エラー情報を確認します。 # cd /^=AC-install-dir=^/policies/PMDB0 # ls -l ERR* -rw------- 1 root root 235 May 10 11:11 ERROR_LOG * looks some data are written, but # sepmd -e PMDB0 CA Access Control sepmd v12.53.0.1517 - Policy Model management Copyright (c) 2010 CA. All rights reserved. * エラーは表示されません。

1607

T4CC113

196

Unix Endpoint User Mode

Fixes an issue with ControlMinder where handle empty user name in seadmapi_WhoIs generates a seosd core in UNAB API.

seadmapi_WhoIs で空のユーザ名を処理すると、UNAB API で seosd コアが生成されるという、ControlMinder の問題を修正しました。

AC125SP50444

Solaris

1740

TC61254

197

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where garbled message appear in syslog in Japanese on startup.

日本語版で、起動時に syslog に文字化けしたメッセージが表示されるという、ControlMinder の問題を修正しました。

AC125SP50447

UNIX all

message AGENT_E_REG_STAT is not properly initialised to print to syslog.

syslog に出力するために、メッセージ AGENT_E_REG_STAT が適切に初期化されていません。

This scenario can't be reprouced at will.

このシナリオは、思い通りに再現できません。

198

Unix Endpoint User Mode

Fixes an issue with ControlMinder where seaudit -kbl utility does not convert the return code for successful end.

seaudit -kbl ユーティリティによるリターンコードの変換が成功しないという、ControlMinder の問題を修正しました。

AC125SP50448

Unix all

Seaudit -kbl did not convert return code for successfull end.

Seaudit -kbl によるリターンコードの変換に失敗します。

Seaudit -kbl end successfully.

Seaudit -kbl が正常に終了します。

# seaudit -a -kbl # echo $? 2 [Findings] These also return the value 2. # seaudit -kbl -cmd -sid / -kbl -pr These return the value 0. # seaudit -a / seaudit -kbl -rp [Question] Is it a correct behavior? If so, what does the value "2" mean?

# seaudit -a -kbl # echo $? 2 ［確認事項］これらも、値 2 を返します。 # seaudit -kbl -cmd -sid / -kbl -pr これらは、値 0 を返します。 # seaudit -a / seaudit -kbl -rp ［質問］これは正常な動作ですか? もしそうなら、値 "2" は何を意味しますか?

199

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where if a process named as watchdog exists, then issec reports this process as an AC process.

watchdog という名前のプロセスが存在する場合、issec はこのプロセスを AC プロセスとして報告するという、ControlMinder の問題を修正しました。

AC125SP50449

UNIX all

A daemon happen to have a same name such as "agent", "watchdog" or "security.", issece will display these services as AC's processes.

デーモンの名前が "agent"、"watchdog"、または "security" のように同じ場合、問題によってこれらのサービスが AC のプロセスとして表示されます。

Check if the process is the base service name. seosd, seoswd and seagent are the three base services that are registered in SEOS_syscall. other processes is not. So we just need to check if the process is AC's base service or not.

プロセスがベースサービス名かどうか確認します。 seosd、seoswd、seagent は、SEOS_syscall にとうろくされている 3 つのベースサービスです。他のプロセスはベースサービスではありません。そのため、プロセスが AC のベースサービスかどうかのみ確認する必要があります。

1) Test on Linux. 2) cp -ip /bin/sleep /tmp/agent 3) Create a script called /tmp/agent.sh: #!/bin/bash # /tmp/agent 300 4) Start AC (^=AC_Instal_Path=^/bin/seload). 5) Run: /tmp/agent.sh 6) Run: ^=AC_Instal_Path=^/bin/issec --=^ See that it does NOT report /tmp/agent as an AC process in issec output.

1) Linux でテストします。 2) cp -ip /bin/sleep /tmp/agent 3) /tmp/agent.sh という名前のスクリプトを作成します: #!/bin/bash # /tmp/agent 300 4) AC を起動します。 (^=AC_Instal_Path=^/bin/seload). 5) 実行: /tmp/agent.sh 6) 実行: ^=AC_Instal_Path=^/bin/issec --=^ issec の出力で /tmp/agent が AC プロセスとしてレポートされないことを確認します。

1744

T243974

200

Windows Endpoint User Mode

Fixes an issue with ControlMinder where specifying shellprog in pmd native environment returns errors.

pmd ネイティブ環境で shellprog を指定するとエラーが返されるという、ControlMinder の問題を修正しました。

AC125SP50450

Windows all

Shellprog property is not defined in database during creation.

作成中に、Shellprog プロパティがデータベースに定義されていません。

Specify shellprog property for user creation/update in pmd native env

pmd ネイティブ環境でユーザを作成/更新するために、shellprog プロパティを指定します。

1.Parent_pmd of unix endpoint is windows pmd 2.Create pmd on widnws endpoint and subscribe unix endpoint 3.Host pmd@ in selang on windows 4.eu caac_test26 audit(logins loginf f trace) owner(nobody) password(Password-0) native(userid(7106) pgroup(jfcca) shellprog(/bin/bash)) expected result: 1."ERROR: Property not found" does not appar 2.su in pmd@ shows shell property

1. UNIX エンドポイントの parent_pmd は Windows pmd です。 2. Windows エンドポイント上に pmd を作成し、UNIX エンドポイントをサブスクライブします。 3. Windows 上で、selang で pmd@ をホストします。 4. eu caac_test26 audit(logins loginf f trace) owner(nobody) password(Password-0) native(userid(7106) pgroup(jfcca) shellprog(/bin/bash)) 予期される結果: 1. "エラー: プロパティが見つかりません" が表示されません。 2. pmd@ の su でシェルプロパティが表示されます。

562

T4CC164

201

UNIX Endpoint User Mode

Fixes an issue with ControlMinder when if installed to a location other than default, selogrd need to reference the environment variable SHLIB_PATH for its dynamic load library. On HPUX, an additional command is required to activate the variable ShLIB_PATH

デフォルト以外の場所にインストールされた場合、その動的ロードライブラリについて、selogrd が環境変数 SHLIB_PATH を参照する必要があるという、ControlMinder の問題を修正しました。 HPUX では、変数 ShLIB_PATH をアクティブ化するために、追加のコマンドが必要です。

AC125SP50453

HP-UX

SHLIB_PATH is not enabled for /opt/CA/eac/lib/snmp.sl. We need to run "chatr +s enable /opt/CA/eac/lib/snmp.sl" to enable SHLIB_PATH for use.

/opt/CA/eac/lib/snmp.sl に対して SHLIB_PATH が有効になっていません。 SHLIB_PATH を有効にして使用するには、"chatr +s enable /opt/CA/eac/lib/snmp.sl" を実行する必要があります。

It is HPUX and AC is installed to a path other than default.

これは HPUX で、AC はデフォルトではないパスにインストールされています。

Run this command. chatr +s enable /opt/CA/eac/lib/snmp.sl

このコマンドを実行します。 chatr +s enable /opt/CA/eac/lib/snmp.sl。

202

Unix Endpoint User Mode

Fixes an issue with ControlMinder where failed logins are not captured when SELinux is set to enforcing mode.

SELinux が実行モードに設定されている場合、失敗したログインがキャプチャされないという、ControlMinder の問題を修正しました。

AC125SP50454

LINUX all

issue does not occur on AC 12.6, and is due to an interaction with selinux

この問題は AC 12.6 では発生せず、selinux の操作が原因で発生します。

reproducible on linux x86 RHEL 5.8

Linux x86 RHEL 5.8 で再現可能。

Workaround is to upgrade to AC 12.6 or set selinux to permissive

回避策は、AC 12.6 にアップグレードするか、selinux を制限なしに設定します。

Steps to reproduce :

再現手順：

1. Install Access Control

1. Access Control をインストールします。

2.Set serevu_pam_seos and pam_enabled tokens to "yes" in /opt/CA/AccessC ontrol/seos.ini

2. /opt/CA/AccessControl/seos.ini で serevu_pam_seos および pam_enabled トークンを "yes" に設定します。

3.Start Access Control

3. Access Control を起動します。

4. Connect to selang

4. selang に接続します。

5. Create a user in selang nu testuser1 password(testuser1) audit(all)

5. selang でユーザを作成します。 nu testuser1 password(testuser1) audit(all)

6. Set serevu with the following values : /opt/CA/AccessControl/bin/serevu -d FOREVER -t 60s -f 3 -s 4m

6. serevu に以下の値を設定します: /opt/CA/AccessControl/bin/serevu -d FOREVER -t 60s -f 3 -s 4m

7. Try telnet localhost with five wrong logins with the user Actual Output : pam_seos_failed_logins.log gets created but it doesn't captur e failed logins

7. 5 つの間違ったログインで、ローカルホストに対する Telnet 接続を試行します。実際の出力: pam_seos_failed_logins.log が作成されますが、失敗ログインはキャプチャされません。

Expected Output : pam_seos_failed_logins.log gets created in /opt/CA/AccessCo ntrol/log and contains records of failed logins

予期された出力: /opt/CA/AccessControl/log に pam_seos_failed_logins.log が作成され、失敗ログインのレコードが含まれます。

NOTE : Failed logins get captured when selinux is in permissive mode.

注: selinux が制限なしモードの場合、失敗ログインはキャプチャされます。

203

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where multiple executions for none existing files on Solaris fail.

Solaris 上で、存在しないファイルの複数実行が失敗するという、ControlMinder の問題を修正しました。

AC125SP50457

Solaris x86

1. Start AC (seload).

1. AC を起動します（seload）。

2. selang:

AC> nu test01 password(test01)

3. Start AC trace ( secons -tc -t )

3. AC トレース（secons -tc -t ）を開始します。

4. ssh -l test01 localhost

5. Exit SSH session

5. SSH セッションを終了します。

6. Stop AC trace (secons -t-) and open AC trace (seosd*trace)

6. AC トレース（secons -t-）を終了し、AC トレース（seosd*trace）を開始します。

204

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where reboot fails on Solaris 10 zone due to failed umount when running in global and internal zones.

グローバルおよび内部ゾーンで実行中に、マウント解除の失敗が原因で、Solaris 10 ゾーンで再起動に失敗するという、ControlMinder の問題を修正しました。

AC125SP50458

Solaris

AC kernel module file name resolving hold and dint release v-node of mounted FS

AC カーネルモジュールファイル名解決によって、マウントされている FS の v-node が保持され、解放されません。

NFS mounts in internal zones

内部ゾーン内の NFS マウント。

Release v-node when going next loop

次のループへの移動時に、v-node を解放します。

1. Default AC installation

1. デフォルトの AC インストールを実行します。

1743

T3DB122

2. Installed Solaris NAS (NFS mounts in internal zones)

2. Solaris NAS（内部ゾーンで NFS マウント）をインストールします。

3. Start AC in global and both internal zones

3. グローバルおよび両方の内部ゾーンで、AC を起動します。

4. in global zone try to reboot internal zones Expect: zone successfully reboots Actual: umount fails for internal zone

4. グローバルゾーンで、内部ゾーンの再起動を試行します。予測: ゾーンは正常に再起動されます。実際: 内部ゾーンでマウント解除に失敗します。

205

UNIX Endpoint Kernel Mode

Fixes an issue where ControlMinder kernel extension does not load.

ControlMinder カーネルエクステンションがロードされないという問題を修正しました。

AC125SP50459

AIX

getvar.sh incorrectly identified SEOS_syscall.530b as the kernel extension to use for AIX 5.3 TL 12 and above. However the new syscall was not introduced until TL 12 SP3, which caused a load failure for TL 12 below SP 3.

AIX 5.3 TL 12 以降で使用するために、getvar.sh が SEOS_syscall.530b をカーネルエクステンションと間違って識別しました。しかし、新規 syscall は TL 12 SP3 まで導入されなかったため、TL 12 SP3 より前のバージョンではロードエラーが発生しました。

Problem occurs on AIX 5.3 with TL 12 below SP 3.

AIX 5.3 TL 12 SP3 より前のバージョンで、この問題が発生します。

Workaround by upgrading to AIX 5.3 TL 12 SP3 or above.

回避策としては、AIX 5.3 TL 12 SP3 以降にアップグレードします。

On AIX 5.3 with TL 12 below SP 3, loading SEOS_syscall will fail with following error: Executing un/load exit file/usr/seos/exits/LOAD/SEOS_load_int.always. sysconfig[SYS_SINGLELOAD]:path(/usr/seos/bin/)module(/usr/seos/bin/SEOS_syscall ) err(8) : Exec format error

AIX 5.3 TL 12 SP3 より前のバージョンで、SEOS_syscall のロードが以下のエラーで失敗します: Executing un/load exit file/usr/seos/exits/LOAD/SEOS_load_int.always. sysconfig[SYS_SINGLELOAD]:path(/usr/seos/bin/)module(/usr/seos/bin/SEOS_syscall ) err(8) : Exec format error

1711

T540130

RO46021

206

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where SEOS_put_look() failed to check for TCP STREAMS file before handling the message.

メッセージを処理する前に、SEOS_put_look() が TCP STREAMS ファイルの確認に失敗するという、ControlMinder の問題を修正しました。

AC125SP50466

Solaris

This occurs on system running X.25 based application.

これは、X.25 ベースのアプリケーションを実行するシステムで発生します。

The workaround is to use the STREAMS mode as the interception type.

回避策としては、インターセプトタイプとして STREAMS モードを使用します。

1746

T3E7148

207

Windows Endpoint User Mode

Fixes an issue with ControlMinder where removing native user with appl property returns an error "Property not found".

appl プロパティを持つネイティブユーザを削除すると、"プロパティが見つかりません" というエラーが返される、ControlMinder の問題を修正しました。

AC125SP50467

Windows all

The appl property is not defined in database during creation.

作成中に、appl プロパティはデータベースに定義されません。

Specify appl property for user delition in pmd native env

pmd ネイティブ環境で、ユーザ削除の appl プロパティを指定します。

1.parent_pmd of unix endpoint is windows pmd

1. UNIX エンドポイントの parent_pmd は、Windows pmd です。

562

T4CC164

2.create pmd on widnws endpoint and subscribe unix endpoint

2. Windows エンドポイントで pmd を作成し、UNIX エンドポイントをサブスクライブします。

3.host pmd@ in selang on windows 4.eu testuser password(testuser)

3. Windows 上の selang で host pmd@。
4. eu testuser password(testuser)

5.ru testuser native appl(homedir=yes) expected result: "ERROR: Property not found" does not appar Plase also test:

5. ru testuser native appl(homedir=yes) 予期される結果: "エラー: プロパティが見つかりません" が表示されません。以下もテストしてください:

6.eu testuser native(gscon("test")) expected result: 1."ERROR: Property not found" does not appar 2.sg in pmd@ netive env shows GSCON property

6. eu testuser native(gscon("test")) 予期される結果: 1."エラー: プロパティが見つかりません" が表示されません。 2. pmd@ ネイティブ環境の sg で GSCON プロパティが表示されます。

7.eg testgrp native(appl("test")) expected result: "ERROR: Property not found" does not appar

7. eg testgrp native(appl("test")) 予期される結果: "エラー: プロパティが見つかりません" が表示されません。

208

Windows Endpoint User Mode

Fixes an issue with ControlMinder where removing native user with appl property returns an error "Property not found".

appl プロパティを持つネイティブユーザを削除すると、"プロパティが見つかりません" というエラーが返されるという、ControlMinder の問題を修正しました。

AC125SP50468

Windows all

groupid property is wrongly defined in database during creation.

作成中に、データベースで groupid プロパティが間違って定義されます。

Specify groupid property for group creation/update in pmd native env

pmd ネイティブ環境で、グループ作成/更新の groupid プロパティを指定します。

1.parent_pmd of unix endpoint is windows pmd

1. UNIX エンドポイントの parent_pmd は、Windows pmd です。

562

T4CC164

2.create pmd on widnws endpoint and subscribe unix endpoint

2. Windows エンドポイントで pmd を作成し、UNIX エンドポイントをサブスクライブします。

3.host pmd@ in selang on windows

"3. Windows 上の selang で host pmd@。

4.eg testgrp audit(a) native(groupid(100))

4. 例 testgrp audit(a) native(groupid(100))

expected result:

予期される結果:

1."ERROR: Property not found" does not appar

1. "エラー: プロパティが見つかりません" が表示されません。

2.sg in pmd@ netive env shows ID property

2. pmd@ ネイティブ環境の sg で ID プロパティが表示されます。

209

Unix Endpoint User Mode

Fixes an issue with ControlMinder where a LOGIN event showed up in audit when user invokes passwd command on himself.

ユーザが自分自身に対して passwd コマンドを呼び出すと、監査で LOGIN イベントが表示されるという、ControlMinder の問題を修正しました。

AC125SP50469

Solaris x86

AC PAM sent a LOGIN event for passwd command.

AC PAM が passwd コマンドに対して LOGIN イベントを送信します。

1752

TC61277, TC61278, TC61279, TC61280, TC61281, TC61282, TC61283, TC61284

210

Unix Endpoint User Mode

Fixes an issue where ControlMinder does not unload on RHEL 6.8 x86.

RHEL 6.8 x86 で ControlMinder がアンロードされないという問題を修正しました。

AC125SP50471

Linux x86

messagebus dbus-daemon is preventing AC kernel module unload because of a blocking accept syscall

syscall の受信がブロックされているため、messagebus dbus-daemon が AC カーネルモジュールのアンロードを阻止しています。

On RHEL 5.8 x86

RHEL 5.8 x86 で

1. Start AC seload

1. AC seload を起動します。

2. Restart messagebus /etc/init.d/messagebus restart

2. messagebus を再起動します。 /etc/init.d/messagebus restart

3. Verify blocing syscall secons -scl shows blocking syscall 102 by dbus-daemon

3. ブロックしている syscall を確認します。 secons -scl dbus-daemon でブロックしている syscall 102 を表示します。

4. Shutdown AC secons -sk

4. AC をシャットダウンします。 secons -sk

5. Attempted unload of AC fails SEOS_load -u

5. AC のアンロードが失敗します。 SEOS_load -u

211

UNAB

Fixes an issue with UNAB where uxauthd deletes a user ticket every hour instead of deleting after ticket lifetime expiration.

uxauthd によるユーザチケットの削除が、チケットのライフタイム失効後ではなく、1 時間間隔で行われるという、UNAB の問題を修正しました。

AC125SP50475

UNIX all

212

Unix Endpoint User Mode

Fixes an issue with ControlMinder where shell becomes root after sesudo command.

sesudo コマンドの実行後に、シェルが root になるという、ControlMinder の問題を修正しました。

AC125SP50476

HP-UX

1) Test on HPUX 11.23 IA64

1) HPUX 11.23 IA64 でテストを行います。

1747

TC61258, TC61259

2) AC> nu test01 password(test01)

AC> nu dsofa password(123)

AC> nr SUDO dsofa owner(nobody) defacc(none)

AC> auth SUDO dsofa uid(test01) access(X) comment("bin/su - dsofa")

3) Start AC.

3) AC を起動します。

4) ssh -l test01 localhost

5) /opt/CA/AccessControl/bin/sesudo dsofa *;/bin/ksh

213

UNAB

Fixes an issue with UNAB where an Active Directory user's UNIX primary group was not found.

Active Directory ユーザの UNIX プライマリグループが見つからないという、UNAB の問題を修正しました。

AC125SP50496

UNIX all

AD user UNIX primary group was not found because of difference between userPrincipalName and sAMAccountName.

userPrincipalName と sAMAccountName の間の相違が原因で、AD ユーザの UNIX プライマリグループが見つかりませんでした。

特定の属性を持つ AD ユーザアカウントでログインします。

214

UNIX Endpoint User Mode

Fixes an issue where ControlMinder can install even if entries begin with a .(dot) exist in the target directory.

.（ドット）で始まるエントリがターゲットディレクトリに存在していても、ControlMinder をインストールできるという問題を修正しました。

AC125SP50508

UNIX all

ls comand by default does not list the entries that begin with a .(dot) on Linux/HP-UX/Solaris

Linux/HP-UX/Solaris で、デフォルトの設定では、ls コマンドで .（ドット）で始まるエントリをリスト表示できません。

Entries begin with a .(dot) exist in target directory

.（ドット）で始まるエントリが、ターゲットディレクトリに存在します。

なし。

Linux/Solaris/HP-UX 1.mkdir –p /opt/CA/AccessControl 2.touch /opt/CA/AccessControl/.a 3../install_base expected result: abort with the following err /opt/CA/AccessControl is not an empty directory. Please provide alternative installation directory. actual result: install_base continues install

Linux/Solaris/HP-UX 1.mkdir –p /opt/CA/AccessControl 2.touch /opt/CA/AccessControl/.a 3../install_base 予期される結果: 以下のエラーで異常終了します。 /opt/CA/AccessControl は空のディレクトリではありません。代替インストールディレクトリを指定してください。実際の結果: install_base でインストールが続行されます。

215

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the result of sepmd -t PMDB <offset> is not correct.

sepmd -t PMDB <オフセット> の結果が正しくないという、ControlMinder の問題を修正しました。

AC125SP50509

Windows all

offset of sepmd -t is handled by hex incorrently.

sepmd -t のオフセットの 16 進数での処理が正しくありません。

Any value specified to offsed is handle by hex

オフセットに指定された値は、16 進数で処理されます。

1. create pmd PMDB 2. input some rules into PMDB a. eg administrators native b. eg inf audit(logins loginf trace) native c. eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native d. eu test1023 3. check PMDB command file =^ sepmd -C PMDB Offset Command ======== ========= 1) 0 eg administrators native 2) 608 (native domain) eg administrators native 3) 1216 eg inf audit(logins loginf trace) native 4) 2848 (native domain) eg inf audit(logins loginf trace)native 5) 3460 eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native 6) 8212 (native domain) eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native 7) 9576 eu test1023 4. truncate until offset 1215 ( expect to truncate command 1) and 2) ) =^ sepmd -t PMDB 1215 Truncating PMDB at 4629 5. check PMDB COMMAND file =^ sepmd -C PMDB Offset Command ======== ========= 1) 8212 (native domain) eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native 2) 9576 eu test1023 commands from 1) to 5) are truncated unexpectedly. Also, the number value in truncate message is not correct

1. pmd PMDB を作成します。 2. いくつかのルールを PMDB に入力します。 a. 例 administrators native b. 例 inf audit(logins loginf trace) native c. eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native d. eu test1023 3. PMDB コマンドファイルを確認します。 =^ sepmd -C PMDB Offset Command ======== ========= 1) 0 例 administrators native 2) 608 ' (native domain) 例 administrators native 3) 1216 eg inf audit(logins loginf trace) native 4) 2848 (native domain) 例 inf audit(logins loginf trace)native 5) 3460 eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native 6) 8212 (native domain) eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native 7) 9576 eu test1023 4. オフセット 1215 まで切り詰めます（コマンド 1）および 2）を切り詰めると予測）） =^ sepmd -t PMDB 1215 4629 で PMDB を切り詰めます。 5. PMDB COMMAND ファイルを確認します。 =^ sepmd -C PMDB Offset Command ======== ========= 1) 8212 (native domain) eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native 2) 9576 eu test1023 予想に反して、1）から 5）までのコマンドが切り詰められます。また、トランケートメッセージの数値が正しくありません。

216

UNAB

Fixes an issue where UNAB fails to insert policy for host group name with special character.

特殊文字が含まれるホストグループ名について、UNAB によるポリシーの挿入が失敗するという問題を修正しました。

AC125SP50512

UNIX all

Fail to insert policy for host group name with special character, for example 'Cellcom's hosts'.

Cellcom's hosts' のように特殊文字を含むホストグループ名について、ポリシーの挿入に失敗しました。

217

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where ReportAgent crashes with core on KBL trace RAW record having empty data field.

ReportAgent がクラッシュし、空のデータフィールドを持つ KBL トレース RAW レコード上でコアダンプが発生するという、ControlMinder の問題を修正しました。

AC125SP50513

Windows all

Adding checking of empty Data for Raw type with bypassing of data extraction prevents from crash.

RAW タイプに対する空のデータの確認を追加し、データ抽出をバイパスすることで、クラッシュを回避します。

1. Stop AC 2. set kbl_enabled = 1 3. Start AC 4. invoke number of commands with sufficient output like "find ." amd "ls -lhr" 5. Set Debug = 1 in accommon.ini and run ReportAgent task 4 in debug mode: ReportAgent -debug 0 -task 4 6. Expected that RA crash with core dump does not occur.

1. AC を停止します。 2. kbl_enabled = 1 を設定します。 3. AC を起動します。 4. "find" などのように十分な出力を持つコマンドを多数呼び出します。" amd "ls -lhr" 5. accommon.ini で Debug = 1 を設定し、デバッグモードで ReportAgent タスク 4 を実行します: ReportAgent -debug 0 -task 4 6. RA がクラッシュし、コアダンプが発生するという予測された結果が発生しません。

1748

T5P7196

218

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where a slash('/') of the root directory in audit record is missing when chrooted.

chroot 実行時に、監査レコード内でルートディレクトリのスラッシュ（/）が見つからないという、ControlMinder の問題を修正しました。

AC125SP50514

LINUX all

A slash('/') of the root directory in audit record is missing when chrooted.

chroot 実行時に、監査レコード内にルートディレクトリのスラッシュ（/）が見つかりません。

Access chrooted file/directry

chroot によるファイル/ディレクトリへのアクセス。

Add a slash('/') to the current directory regardless of the parent is IS_ROOT.

親が IS_ROOT であるかどうかに関わらず、現行ディレクトリにスラッシュ（/）を追加します。

1. place proftpd-1.3.4a.tar.gz on /usr/local/src 2. tar zxvf proftpd-1.3.4a.tar.gz 3. cd proftpd-1.3.4a 4. ./configure --with-modules=mod_ifsession 5. make 6. make install 7. uncomment DefaultRoot in proftpd.conf 8. run proftpd I noticed that the /ftpdata was a separate file system according to hostsysinfo.txt in the support.tar.gz file. /dev/sda2 52427772 184372 49537252 1% /ftpdata For setting up a similar environment on LOD, I made a new filesystem in the following way. 1. Create a file to be used for a new filesystem # dd if=/dev/zero of=/root/ftpdata bs=1024 count=10240 2. Create a filesystem in the file # mkfs /root/ftpdata 3. Create a mount point # mkdir /ftpdata 4. mount the created filesystem to /ftpdata # mount -o loop /root/ftpdata /ftpdata For reproducing the problem, we need to create a user and the user's home directory in /ftpdata. # useradd kiban -d /ftpdata/SG001 # chmod 777 /ftpdata/SG001 The following AC rules need to be defined. ef /ftpdata/SG001 defacc(a) audit(a) owner(nobody) ef /ftpdata/SG001/* defacc(a) audit(a) owner(nobody) When you login to the proftpd server as user 'kiban', '/' between directory names disappears in the seos.audit log. This problem deos not happen when /ftpdata is a simple directory in the root filesystem.

1. proftpd-1.3.4a.tar.gz を /usr/local/src 上に配置します。 2. tar zxvf proftpd-1.3.4a.tar.gz 3. cd proftpd-1.3.4a 4. ./configure --with-modules=mod_ifsession 5. make 6. make install 7. uncomment DefaultRoot in proftpd.conf 8. run proftpd support.tar.gz ファイルにある hostsysinfo.txt によれば、/ftpdata は別のファイルシステムです。 /dev/sda2 52427772 184372 49537252 1% /ftpdata LOD 上で同様の環境をセットアップするために、以下のようにして新規ファイルシステムを作成しました。 1. 新規ファイルシステムで使用するファイルを作成します。 # dd if=/dev/zero of=/root/ftpdata bs=1024 count=10240 2. そのファイル内にファイルシステムを作成します。 # mkfs /root/ftpdata 3. マウントポイントを作成します。 # mkdir /ftpdata 4. 作成したファイルシステムを /ftpdata にマウントします。 # mount -o loop /root/ftpdata /ftpdata 問題を再現するために、/ftpdata にユーザおよびユーザのホームディレクトリを作成する必要があります。 # useradd kiban -d /ftpdata/SG001 # chmod 777 /ftpdata/SG001 以下の AC ルールを定義する必要があります。 ef /ftpdata/SG001 defacc(a) audit(a) owner(nobody) ef /ftpdata/SG001/* defacc(a) audit(a) owner(nobody) ユーザ 'kiban' として proftpd サーバにログインすると、seos.audit log でディレクトリ名間の '/' が消失します。 /ftpdata がルートファイルシステム内の単純なディレクトリである場合は、この問題は発生しません。

219

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where PACL denies incorrectly with changed i-node, while the program is still trusted according to DB settings.

DB 設定に従ってプログラムがまだ trusted であるのに、PACL が変更された i-node を不正に拒否するという、ControlMinder の問題を修正しました。

AC125SP50516

UNIX all

Kernel module didn't find program in table by program path. Function "eAC_TrustPg_get_best()" searches program by full path but checks return value incorrectly. As result executed script was not marked as "trusted script" and AC didn't apply viapgm rule.

カーネルモジュールは、プログラムパスによって、テーブル内でプログラムを見つけられませんでした。ファンクション "eAC_TrustPg_get_best()" は、フルパスでプログラムを探しますが、リターン値の確認が正しく行われません。その結果、実行されたスクリプトが "trusted スクリプト" としてマークされず、AC は viapgm ルールを適用しませんでした。

Program "vi" changes program i-node when file is saved.

ファイル保存時に、プログラム "vi" はプログラム i-node を変更します。

Kernel module function "eAC_TrustPg_get_best" changed Previous code : --------------- if (path[0] == '/' && eAC_h_tbl_get() == 0 ) return OK; ---------------( condition lack braces after &&) New code: if (path[0] == '/') { if (eAC_h_tbl_get() == 0 ) return OK; }

カーネルモジュールファンクション "eAC_TrustPg_get_best" が変更されました。旧コード: --------------- if (path[0] == '/' && eAC_h_tbl_get() == 0 ) return OK; ---------------( 条件文で、&& の後に ) がありませんでした) 新規コード: if (path[0] == '/') { if (eAC_h_tbl_get() == 0 ) return OK; }

Prepare: # echo TEST =^ /tmp/test.txt # mkdir /home/work # vi /home/work/test.sh #!/bin/bash cat /tmp/test.txt Rule: AC=^ ef /tmp/test.txt owner(nobody) audit(all) defacc(N) AC=^ auth file /tmp/test.txt uid(*) acc(ALL) via(pgm(/home/work/test.sh)) AC=^ cr PROGRAM /home/work/test.sh flags(none) Recreate steps: 1. run test.sh # /home/work/test.sh ==^ ALLOWED 2. edit test.sh and insert comment line # vi /home/wor/test.sh insert line like ###### at bottom 3. run test.sh again # /home/work/test.sh ==^ EXPECTED result is PERMIT and /home/work/test.sh is trusted program ==^ ACTUAL is DENY

準備: # echo TEST =^ /tmp/test.txt # mkdir /home/work # vi /home/work/test.sh #!/bin/bash cat /tmp/test.txt Rule: AC=^ ef /tmp/test.txt owner(nobody) audit(all) defacc(N) AC=^ auth file /tmp/test.txt uid(*) acc(ALL) via(pgm(/home/work/test.sh)) AC=^ cr PROGRAM /home/work/test.sh flags(none) 再現手順: 1. test.sh を実行します。 # /home/work/test.sh ==^ ALLOWED 2. test.sh を編集し、コメント行を挿入します。 # vi /home/wor/test.sh 「######」のような行を一番下に挿入します。 3. test.sh を再度実行します。 # /home/work/test.sh ==^ 予期される結果は PERMIT で、/home/work/test.sh は trusted プログラムです。 ==^ 実際の結果は DENY です。

1749

T3DB126, T3DB127

220

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where HP-UX 11.11 crashed calling delay().

delay() のコール中に HP-UX 11.11 がクラッシュするという、ControlMinder の問題を修正しました。

AC125SP50518

HP-UX

The delay() kernel function called by ac_w_lock_slot() is not available in HP-UX 11.11 or earlier version. Instead, the delay() function with different calling arguments from another kernel module was called. This led to system panic.

ac_w_lock_slot() によってコールされる delay() カーネルファンクションは、HP-UX 11.11 以前のバージョンでは利用できません。代わりに、別のカーネルモジュールの異なるコール引数を持つ delay() ファンクションがコールされます。これが、システムパニックの原因になりました。

This only occurs on HP-UX 11.11. This may occur when there are multiple threads attempt to acquire read or write lock on the AC kernel table.

これが発生するのは、HP-UX 11.11 でのみです。 AC カーネルテーブルに対する読み取り/書き込みロックの取得を試行する複数のスレッドがある場合に、この問題が発生する場合があります。

1745

T3E7147

221

Unix Endpoint User Mode

Fixes an issue with ControlMinder where shell becomes root after sesudo command.

sesudo コマンドの実行後に、シェルが root になるという、ControlMinder の問題を修正しました。

AC125SP50519

UNIX all

Comprehenssive solution for '*' in -c command.

-c コマンド内の '*' に対する統合的なソリューション。

1747

TC61291

TC61292

TC61293

TC61294

TC61295

TC61296

TC61258

TC61260

TC61261

TC61262

TC61259

TC61263

TC61297

222

Windows Endpoint User Mode

Fixes an issue with ControlMinder where seosd fails to start due to wrong filter in audit.cfg.

audit.cfg 内のフィルタが間違っているために、seosd が起動に失敗するという、ControlMinder の問題を修正しました。

AC125SP50520

Windows all

Allocated AuditMembersArray is not initialized with NUL, so its members points on invalid address, invoked later in strncmp as a parameter.

割り当てられた AuditMembersArray が NULL で初期化されておらず、そのため、そのメンバが、後に strncmp でパラメータとして呼び出された、無効なアドレスをポイントします。

Add initilization of allocated AuditMembersArray, checking filter tokens and return ERROR_PARSING_CFG_LINE for reporting to Application Log about wrong filter.

割り当てられた AuditMembersArray の初期化を追加し、フィルタトークンを確認し、間違ったフィルタに関するアプリケーションログへのレポートに ERROR_PARSING_CFG_LINE を返します。

Set filter FILE;*;NT AUTHORITYSYSTEM;*;*; with missing last token and start AC. It exits with error "Abnormal termination Service Thread" in Application Log.

不足している最後のトークンでフィルタ FILE;*;NT AUTHORITYSYSTEM;*;*; を設定し、AC を起動します。 AC は終了し、アプリケーションログに "異常終了サービススレッド" と表示されます。

529, 565

T4CC145, T5P7199

223

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where the system panicked when eAC_MM_file_ok() called bcopy().

eAC_MM_file_ok() が bcopy() をコールすると、システムパニックが発生するという、ControlMinder の問題を修正しました。

AC125SP50522

UNIX all

Unexpected arguments passed to eAC_MM_file_ok().

予期しない引数が eAC_MM_file_ok() に渡されました。

This occurs when an intercepted execve event fails and AC is down.

これが発生するのは、インターセプトされた execve イベントが失敗し、AC が停止している場合です。

When AC is down, there is no need to check Maintenance Mode.

AC が停止している場合、メンテナンスモードを確認する必要はありません。

1750

T3E7149, T3E7150

224

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where PACL denies incorrectly with changed i-node, while the program is still trusted according to DB settings.

DB 設定に従ってプログラムがまだ trusted であるのに、PACL は変更された i-node を間違って拒否するという、ControlMinder の問題を修正しました。

AC125SP50523

UNIX all

seosd process table function explicitly searched for match of device and inode in program table and sets run time flag "trusted=0".

seosd プロセステーブルファンクションは、プログラムテーブルでデバイスと i-node の一致を明示的に検索し、ランタイムフラグ "trusted=0" を設定します。

Program "vi" changes program i-node when file is saved.

ファイルが保存されている場合、プログラム "vi" はプログラム i-node を変更します。

Change procserver.c, call trpgmmgr_GetBestEntry() instead of trpgmmgr_GetTrustedProgByDevice()

procserver.c を変更し、trpgmmgr_GetTrustedProgByDevice() ではなく、trpgmmgr_GetBestEntry() をコールします。

準備: # echo TEST =^ /tmp/test.txt # mkdir /home/work # vi /home/work/test.sh #!/bin/bash cat /tmp/test.txt ルール: AC=^ ef /tmp/test.txt owner(nobody) audit(all) defacc(N) AC=^ auth file /tmp/test.txt uid(*) acc(ALL) via(pgm(/home/work/test.sh)) AC=^ cr PROGRAM /home/work/test.sh flags(none) 再現手順: 1. test.sh を実行します。 # /home/work/test.sh ==^ ALLOWED 2. test.sh を編集し、コメント行を挿入します。 # vi /home/wor/test.sh 「######」のような行を一番下に挿入します。 3. test.sh を再度実行します。 # /home/work/test.sh ==^ EXPECTED 予期される結果は PERMIT で /home/work/test.sh は trusted プログラムです。 ==^ 実際は DENY です。

1749

T3DB126, T3DB127

225

Windows Endpoint User Mode

Fixes an issue with ControlMinder where an application error occurs by cainstrm.

cainstrm によってアプリケーションエラーが発生するという、ControlMinder の問題を修正しました。

AC125SP50524

Windows 2008

Failure related to instrumentation unload.

インストルメンテーションアンロードに関連するエラー。

569

T5P7201

226

Unix Endpoint User Mode

Fixes an issue with ControlMinder where shell becomes root after sesudo command.

sesudo コマンドの実行後にシェルが root になるという、ControlMinder の問題を修正しました。

AC125SP50528

HP-UX

1747

TC61291, TC61292, TC61293, TC61294, TC61295, TC61296, TC61258, TC61260, TC61261, TC61262, TC61259, TC61263, TC61297

227

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the user is unable to delete a policy.

ユーザがポリシーを削除できないという、ControlMinder の問題を修正しました。

AC125SP50534

Windows all

It is because the hnode is deleted, the poilcy that is assigned to hnode is not able to be deleted.

これは、hnode が削除されたため、hnode に割り当てられているポリシーを削除できないことが原因です。

a policy is assigned to one hnode. this hnode is deleted. Now, we cannot delete the policy.

ポリシーは 1 つの hnode に割り当てられます。この hnode が削除されます。これで、ポリシーを削除できません。

Need code fixes for this problem. We cannot just check if the property EFFECT_ON is set with any value, we should check if there is an actual objects for EFFECT_ON.

この問題では、コード修正プログラムが必要になります。プロパティ EFFECT_ON に何らかの値が設定されているかどうか確認できませんが、EFFECT_ON に対して実際のオブジェクトがあるかどうか確認する必要があります。

1. policydeploy -store TestPolicy -ds c:ds.txt -uds c:컯xt -dms DMS__@ 2. policydeploy -assign TestPolicy -hnode node_name -dms DMS__@ 3. selang, AC=^host DMS__@, AC=^rr HNODE node_name Now, you'll have a problem to delete the policy TestPolicy. 4. policydeploy -delete TestPolicy#01 -dms DMS__@ Error: ERROR: Cannot delete policy version TestPolicy#01 as it is effective on some HNODEs

1. policydeploy -store TestPolicy -ds c:ds.txt -uds c:컯xt -dms DMS__@ 2. policydeploy -assign TestPolicy -hnode node_name -dms DMS__@ 3. selang, AC=^host DMS__@, AC=^rr HNODE node_name ここで、ポリシー TestPolicy の削除に関する問題が発生します。 4. policydeploy -delete TestPolicy#01 -dms DMS__@ エラー: エラー: ポリシーバージョン TestPolicy#01 は一部の HNODE で有効なため、削除できません。

228

Windows Endpoint User Mode

Fixes an issue with ControlMinder where an application error occurs on the application exit, and the application crashes on DB plugins.

アプリケーション終了時にアプリケーションエラーが発生し、DB プラグインでアプリケーションがクラッシュするという、ControlMinder の問題を修正しました。

AC125SP50535

Windows all

Found and fixed several bugs related to instrumentation unload code.

インストルメンテーションアンロードコードに関連するいくかのバグを発見し、修正しました。

Found and fixed several bugs related to instrumentation unload code.

インストルメンテーションアンロードコードに関連するいくつかのバグを発見、修正しました。

Use instmstress QA utility with runasplg plugin configured to run on the utility. Expected result - utility finish it's work normally. Fault conditions - utility crashes.

569

T5P7201

229

Windows Endpoint User Mode

Fixes an issue with ControlMinder where grace count decreases to 2 for each login when Customer logs in on Windows 2008 R2(x64) as Domain Controller.

ユーザがドメインコントローラである Windows 2008 R2（x64）にログインするたびに、猶予数が 2 つに減るという、ControlMinder の問題を修正しました。

AC125SP50536

Windows all

dual login events are created and AC sub auth package catch them

デュアルログインイベントが作成され、AC サブ認証パッケージがそれをキャッチします。

1.DC on Windows 2008 R2 2.login after lock the screen

1. Windows 2008 R2 上の DC。 2. 画面ロック後、ログイン。

Windows 2008 R2(x64) as DC / AC R12.5 SP4 1.enable AC password class 2.create a test user with grace count 3.login DC by the test user via GINA 4.verify 1 grace count is decremented 5.lock the screen by open Start -=^ Lock 6.login DC again 7.verify dual LOGIN audit record appear and 2 grace count is decremented 07 May 2012 13:38:10 P LOGIN murte01 55 2 AD.test.com C:\Windows\System32\lsass.exe 07 May 2012 13:38:10 P LOGIN murte01 55 2 AD.test.com C:\Windows\System32\lsass.exe 8.add the reg value [HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\SeOSD] "GraceDecrementInterval"=5000(=5000 msec) 9.start AC and repeat step 5,6 10.verify dual LOGIN audit record appear and only 1 grace count is decremented

Windows 2008 R2(x64) を DC として/ AC R12.5 SP4 1. AC パスワードクラスを有効にします。 2. 猶予数付きのテストユーザを作成します。 3. テストユーザとして、GINA 経由で DC にログインします。 4. 猶予数が 1 減るのを確認します。 5. Start -=^ Lock を開いて、画面をロックします。 6. DC に再度ログインします。 7. デュアルログイン監査レコードが表示され、猶予数が 2 減るのを確認します。 07 May 2012 13:38:10 P LOGIN murte01 55 2 AD.test.com C:\Windows\System32\lsass.exe 07 May 2012 13:38:10 P LOGIN murte01 55 2 AD.test.com C:\Windows\System32\lsass.exe 8. reg 値を追加します。 [HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\SeOSD] "GraceDecrementInterval"=5000(=5000 msec) 9. AC を起動し、手順5、6、10 を繰り返します。デュアルログイン監査レコードが表示され、猶予数が 1 のみ減るのを確認します。

230

Windows Endpoint User Mode

Fixes an issue with ControlMinder where an expired user password grace count is decremented after connecting each time to the host with selang "host" or "hosts" command.

selang コマンド "host" または "hosts" でホストに接続するたびに、失効したユーザパスワードの猶予数が減るという、ControlMinder の問題を修正しました。

AC125SP50540

Windows all

SeOSAgent reconized this type of logon writes User and Domain to special named shared memory from where eACSubAuth.dll notified through the signaled event reads this data and comparing with User/Domain camed from LSA is able to recognize that Logon acually is initiated by SeOSAgent allowing to avoid excessive authorization.

SeOSAgent はこの種のログオンを認識します。ユーザおよびドメインを特殊な名前が付けられた共有メモリに書き込みます。 eACSubAuth.dll はここからシグナルでイベントを送信して、通知を行います。このデータを読み取り、LSA からのユーザ/ドメインと比較すると、ログオンが実際には SeOSAgent によって開始されることが認識でき、過剰な許可を回避できます。

1. Create user eu ^=hostname=^tuser password(xxxxxx) admin eu ^=hostname=^tuser grace(50) 2. Create and authorize terminal for other EP er terminal(^=other EP=^) defacc(R) audit(a) auth terminal(^=other EP=^) uid(tuser) acc(a) 3. From selang ^=other EP=^ host ^=hostname=^ uid(tuser) password(xxxxxx) OR Connect to ^=hostname=^ from EM. 4. Check on ^=hostname=^ decremented grace su ^=hostname=^tuser

1. ユーザを作成します。 eu ^=hostname=^tuser password(xxxxxx) admin eu ^=hostname=^tuser grace(50) 2. 端末を作成し、別の EP に許可します。 er terminal(^=other EP=^) defacc(R) audit(a) auth terminal(^=other EP=^) uid(tuser) acc(a) 3. selang から ^=other EP=^ host ^=hostname=^ uid(tuser) password(xxxxxx) または、EM から ^=hostname=^ に接続します。 4. ^=hostname=^ で猶予数が減っているのを確認します。 su ^=hostname=^tuser

565

T5P7199

231

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where an "or" is observed in AccessControl_install.log during upgrade.

アップグレード中に、AccessControl_install.log で "or" が確認されるという、ControlMinder の問題を修正しました。

AC125SP50542

UNIX all

Correct dir is /opt/CA/AccessControl/data/japanese_euc_jis-0208/etc/eACLicenseAgreementUNIX_japanese_euc_jis-0208.txt

正しいディレクトリ: /opt/CA/AccessControl/data/japanese_euc_jis-0208/etc/eACLicenseAgreementUNIX_japanese_euc_jis-0208.txt

Upgrade 12.5SP5

12.5 SP5 へのアップグレード。

1.install AC12.5SP2 2.upgrade AC12.5SP5 3.check AccessControl_install.log

1. AC12.5SP2 をインストールします。 2. AC12.5SP5 にアップグレードします。 3. AccessControl_install.log を確認します。

232

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where sepmdpull allocate huge memory.

sepmdpull で巨大なメモリが割り当てられるという、ControlMinder の問題を修正しました。

AC125SP50545

UNIX all

Sepmdpull consume huge memory when encrypt/decrypt keys or encryption package does not match with parent pmd.

暗号化/復号化鍵または暗号化パッケージが親 pmd と一致しない場合、sepmdpull は巨大なメモリを消費します。

Different encrypt/decrypt keys defined between parent pmd machine and subscriber machine.

親 pmd マシンとサブスクライバマシンの間で、異なる暗号化/復号化鍵が定義されています。

Fix difference in encrypt/decrypt keys

暗号化/復号化鍵の相違を修正します。

1.Install AC with default encrypt key on machine A 2.Install AC with different encrypt key on machine B 3.Set token panrent_pmd to machine A Example:pmd1@machine B 4.Start AC on both machine 5.Run sepmdpull -a 6.verify sepmdpull will not allocate huge memory

1. デフォルトの暗号化鍵で、AC をマシン A にインストールします。 2. 別の暗号化鍵で、AC をマシン B にインストールします。 3. トークン panrent_pmd をマシン A に設定します。例:pmd1@machine B 4. 両方のマシンで、AC を起動します。 5. sepmdpull -a を実行します。 6. sepmdpull で巨大なメモリが割り当てられていないことを確認します。

1766

T4CC181

233

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where an application error occurs on the application exit and the application crashes on DB plugins.

AC125SP50546

AIX

234

Windows Endpoint User Mode

Fixes an issue with ControlMinder where MtM unsafe for plug-ins unload.

プラグインのアンロードに関して MtM が安全でないという、ControlMinder の問題を修正しました。

AC125SP50547

Windows all

MtM unsafe for plug-ins unload

プラグインのアンロードに関して、MtM は安全ではありません。

MtM unsafe for plug-ins unload

プラグインのアンロードに関して、MtM は安全ではありません。

Removed MtM

MtM を削除しました。

See QA notes

QA の注参照。

569

T5P7201

235

Unix Endpoint User Mode

Fixes an issue with ControlMinder where the policy works only for the first 128 Windows groups.

ポリシーが有効なのは最初の 128 の Windows グループに対してのみであるという、ControlMinder の問題を修正しました。

AC125SP50550

UNIX all

236

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where selogrd on Solaris does not send SNMP traps.

Solaris で、selogrd が SNMP トラップを送信しないという、ControlMinder の問題を修正しました。

AC125SP50552

LINUX all

selogrd did not sent by IPv4 where IPv6 fails

IPv6 が失敗する場合、selogrd は IPv4 で送信を行いません。

IPv6 fails

IPv6 が失敗します。

Environment: Solaris10, CA CM r12.6GA [STEPS]

環境: Solaris10、CA CM r12.6GA [手順]

1. I created a selogrd.ext file in $SEOSDIR/etc as follows. # cat selogrd.ext snmp /opt/CA/AccessControl/lib/snmp.so # ls -la selogrd.ext -rw-r--r-- 1 root root 39 4/ 20 12:36 selogrd.ext

1. $SEOSDIR/etc で、selogrd.ext ファイルを以下のように作成します。 # cat selogrd.ext snmp /opt/CA/AccessControl/lib/snmp.so # ls -la selogrd.ext -rw-r--r-- 1 root root 39 4/ 20 12:36 selogrd.ext

2. I created a selogrd.cfg file in $SEOSDIR/log as follows. ==selogrd.cfg== SnmpTrap snmp miyhi02-xp-2 include Class(*FILE*) Code(*). ^=dot=^ ========== # ls -la selogrd.cfg -rw-r--r-- 1 root root 1347 4/20 13:09 selogrd.cfg expected result: snmp trap is sent to miyhi02-xp-2

2. $SEOSDIR/log で、selogrd.cfg ファイルを以下のように作成します。 ==selogrd.cfg== SnmpTrap snmp miyhi02-xp-2 include Class(*FILE*) Code(*). ^=dot=^ ========== # ls -la selogrd.cfg -rw-r--r-- 1 root root 1347 4/20 13:09 selogrd.cfg 予期される結果: snmp トラップは miyhi02-xp-2 に送信されます。

237

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where even when DB rules allow, SURROGATE denies it.

DB ルールで許可される場合でも、SURROGATE で拒否されるという、ControlMinder の問題を修正しました。

AC125SP50554

UNIX all

Wrong ACEE reference counting

間違った ACEE 参照カウント。

This package makes two changes: 1) kernel function SEOS_procserver_update() will change references to "old" and "new" acee 2) kernel exit function will check real references in process table when reference counter is equal 1, meaning - last reference.

このパッケージでは、2 つの変更が行われます。 1) カーネルファンクション SEOS_procserver_update() の参照が、"old" および "new" acee に変更されます。 2) 参照カウンタが最後の参照を意味する 1 の場合、カーネル exit ファンクションはプロセステーブルで実参照を確認します。

1758

T3DB128

238

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where seosd does not completely cleanup on shut down.

シャットダウン時の seosd によるクリーンアップが完全ではないという、ControlMinder の問題を修正しました。

AC125SP50555

UNIX all

AccessControl did not run full cleanup when seosd is killed by seoswd.

seosd が seoswd によって kill される場合、Access Control は完全なクリーンアップを行いません。

seosd cores dump when seoswd kills it and then seosd starts up.

"seoswd が seosd を kill し、seosd が起動すると、seosd のコアダンプが発生します。

Apply a new seosd that do a full cleanup.

フルクリーンアップを行う、新規 seosd を適用します。

It is hard to see the problem. It is a problem that ACEEH is associated incorrectly with process. A process got an incorrect ACEEH. Here is the steps that the client reproduced.

問題を表示するのは簡単ではありません。これは、ACEEH がプロセスに不正に関連付けられているという問題です。プロセスは、不正な ACEEH を受け取ります。以下は、クライアントの再現手順です。

1757

T243979

1. vi seos.ini kill_ignore = no

2. kill -7 [seosd's pid]

3. When AccessControl starts up, certain process got an incorrect username according to AccessControl.

3. Access Control の起動時に、Access Control に従って、特定のプロセスが不正なユーザ名を受け取ります。

Please run test with step 1 and 2. If AccessControl can startup without any problem, then it works.

手順 1 および 2 でテストを実行してください。 Access Control が問題なく起動できる場合、それは機能しています。

239

Unix Endpoint User Mode

Fixes an issue with ControlMinder where system crashes in fi_detach_q on HPUX due to the race condition between net_str_cached and AC detaching the queue.

net_str_cached と AC によるキューの分離の間の競合状態が原因で、HPUX 上の fi_detach_q でシステムがクラッシュするという、ControlMinder の問題を修正しました。

AC125SP50556

HP-UX

1762

TC61311

240

Windows Endpoint Kernel Mode

Fixes an issue with ControlMinder where despite denial of operation while terminating seosd watchdog, ControlMinder does not log the audit message.

seosd watchdog の終了中に、操作が拒否されるにも関わらず、ControlMinder が監査メッセージにログを記録しないという、ControlMinder の問題を修正しました。

AC125SP50557

Windows all

Loop hole protection functionality overlapped with class process functionality.

ループホール保護機能が、クラスプロセス機能と重複しています。

Removed process termination mask from loophole protectiopn, it should be cobvvered by class process.

ループホール保護からプロセス終了マスクを削除しました。これは、クラスプロセスで処理されるべきものです。

Removed process termination mask from loophole protectiopn, it should be cobvvered by class process.

ループホール保護からプロセス終了マスクを削除しました。これは、クラスプロセスで処理されるべきものです。

Try to terminate seosd watchdog - see that despite denial of the operation, AC log contains no appropriate auidt message.

seosd watchdog の終了を試行します - 操作の拒否にも関わらず、AC ログに適切な監査メッセージが含まれません。

571

T5P7202

241

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where system crashes in fi_detach_q on HPUX due to the race condition between net_str_cached and ControlMinder detaching the queue.

net_str_cached と ControlMinder によるキューの分離の間の競合状態が原因で、HPUX 上の fi_detach_q でシステムがクラッシュするという、ControlMinder の問題を修正しました。

AC125SP50561

HP-UX

order of the commands.

コマンドの順番。

1762

TC61311

242

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where PACL for trusted script is ignored.

trusted スクリプトの PACL が無視されるという、ControlMinder の問題を修正しました。

AC125SP50563

UNIX all

function ProcServer_get_info() chacks if current process is trusted script (it is true) returns current program (gzip) and ignores verification that old_arg0 is trusted script and should be used instead.

ファンクション ProcServer_get_info() は、現在のプロセスが trusted スクリプトであるかどうか確認し、（true の場合）現在のプログラム（gzip）を返し、old_arg0 が trusted スクリプトであり、代わりに使用される必要があるという検証を無視します。

Check that old_arg0, if it is trusted script use it as program name.

old_arg0 が trusted スクリプトである場合、それをプログラム名として使用することを確認します。

Not reproduced in Lab

ラボでは再現できません。

1759

T3DB129

243

UNIX Endpoint User Mode

Fixes an issue where ControlMinder returns incorrect UID in a cloning session.

セッションのクローズ時に、ControlMinder が不正な UID を返すという問題を修正しました。

AC125SP50564

UNIX all

CM didn't get the uid correctly from /proc/[pid]/stat and that is why the user is not recognized correctly.

CM が /proc/[pid]/stat から正常に uid を取得しません。これが、ユーザが正しく認識されない原因です。

a user logs in via sshd. files is /proce/[pid]/ are owner by root. restart of AccessControl, the user is recognized as "root".

ユーザは sshd を使用してログインします。ファイルは /proce/[pid]/ で、所有者は root です。 AccessControl を再起動すると、ユーザは "root" として認識されます。

We need to obtain the uid from /proc/[pid]/status.

/proc/[pid]/status から uid を取得する必要があります。

There is no way to reproduce the problem. It happens only in certain system that is running with a certain login application. The reproducing steps are: login as test01. restart AccessControl. now test01 is recognized as "root".

この問題を再現する方法はありません。この問題が発生するのは、特定のログインアプリケーションを実行している特定のシステムでのみです。再現手順: test01 としてログインします。 AccessControl を再起動します。これで、test01 は "root" として認識されます。

1776

T243986

244

Windows Endpoint User Mode

Fixes an issue with ControlMinder where an application error occurs on exit, and the application crashes on DB plugins.

終了時にアプリケーションエラーが発生し、DB プラグインでアプリケーションがクラッシュするという、ControlMinder の問題を修正しました。

AC125SP50566

Windows all

569

T5P7201

245

UNIX Endpoint Kernel Mode

Fixes an issue with ControlMinder where via pgm of internal commands is denied when running a trusted script with 'sh -c' access.

sh -c アクセスで trusted スクリプトを実行中に、内部コマンドの via pgm が拒否されるという、ControlMinder の問題を修正しました。

AC125SP50567

UNIX all

Proc flag in user mode was not set as script.

ユーザモードの proc フラグは、スクリプトに設定されていませんでした。

1759

TC61300

246

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the following error appears in the policyfetcher.log: Error, failed to fetch policy status for HNODE "nodename"

policyfetcher.log で以下のエラーが発生するという、ControlMinder の問題を修正しました: エラー、HNODE "ノード名" のポリシーステータスの取得に失敗しました。

AC125SP50568

Windows all, UNIX all

If no policies exist for this node(endpoint) then we are returning null in that case we are printing the error message(Error, failed to fetch policy status for HNODE "sweac01").We are changing the error message as a warning saying "No policies exist for this node as of now".

このノード（エンドポイント）にポリシーが存在しない場合、NULL を返します。その場合、エラーメッセージ（エラー、HNODE "sweac01" のポリシーステータスの取得に失敗しました）を出力します。このエラーメッセージを以下の警告に変更します: "現在のところ、このノードにポリシーは存在しません"。

Changing Error message as a warning.

エラーメッセージを警告に変更します。

1.Install endpoint pointing to ENTM Server 2.Before deploying any policies from DMS to endpoint observe below error message in policyfetcher.log(it exists under ^=EACInstallDir=^/log). "Error, failed to fetch policy status for HNODE "nodename"".

1. ENTM サーバをポイントするエンドポイントをインストールします。 2. DMS からエンドポイントにポリシーをデプロイする前に、policyfetcher.log（^=EACInstallDir=^/log にあります）で以下のエラーメッセージを確認します。"エラー、HNODE "ノード名" のポリシーステータスの取得に失敗しました"。

1764

T4A5070, T4A5066, T4A5067, T4A5068, T4A5069

UNIX Endpoint User Mode

247

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the policyfetcher consumes high CPU usage.

policyfetcher の CPU 使用率が非常に高いという、ControlMinder の問題を修正しました。

AC125SP50570

UNIX all

If policyfetcher fail to send data and already tried to re-connect to the current target, it get in infinite loop.

policyfetcher がデータの送信に失敗し、すでに現在のターゲットへの再接続を試みている場合、policyfetcher は無限ループに入ります。

Policyfetcher fails data send/or receive twice on a target

ターゲットで、Policyfetcher がデータの送信に失敗するか、データを 2 回受信します。

1767

T4CC182, T4CC183