CA ControlMinder 12.6 SP3 FIXLIST - Japanese
3919
24 October 2016
24 October 2016
| No. | 重大度 | モジュール | 問題のサマリ | パッケージ | OS | 問題の原因 | 条件 | 解決策または回避策 | 再現手順 |
| 1 | 2 | UNIX エンドポイント カーネル モード | CA ControlMinder ユーザが GROUPWARE Web のメニューをクリックすると、レスポンスが 3 ~ 4 秒遅延する問題を修正しました。パケット分析(Wireshark パケット アナライザを使用)により、約 2/5 の 送信済み SYN が ACK を受信していないことが分かりました。ControlMinder を停止するか、またはストリームをオフに設定すると、この問題は発生しません。 | AC126SP20754 | HPUX IA64 | この遅延は AC の flushq 実装の実行速度が原因です。 | CA ControlMinder ストリーム コードが修正され、flushq 実装のプロセス速度が改善されました。 | 1. AC 12.5 SP5 がインストールされた HPUX 11.31 ia 64 上に Apache をインストールします。 2. ブラウザを開き、http:// (サーバ IP) を入力します。デフォルトの apache Web ページである index.html が開きます。 3. ストリームが ON の場合に、index.html ページの更新を繰り返します。 4. 5 回のうち 2 ~ 3 回は 2、3 秒の遅延が発生します。 5. ストリームが OFF の場合、遅延は発生しません。 |
|
| 2 | 2 | Windows エンドポイント カーネル モード | CA ControlMinder で Stop Error 画面が表示される問題を修正しました。 | AC126SP20792 | Windows all | seosd メモリの破損 | 1. TM AV がインストール済みの Windows 2008 x64 システムに CA ControlMinder をインストールします(OS および AV が最新であることを確認します)。 2. ControlMinder を停止して、QueueTimeout 値を 10 から 1 に変更します。 3. ファイル保護とネットワーク保護の ControlMinder ルールを追加します(クラス TCP を有効化し、クラス TCP の _default を audit all に変更します)。 4. netstress および fstress X 2 を無限サイクルで実行し、ControlMinder 環境にストレスを与えます。 5. 以下のスクリプトを実行します。 @echo off :begin @echo Start phase 1 time /t seosd -start wait 1200 @echo Start phase 2 time /t secons -s @echo Stop phase 1 time /t wait 1200 @echo Start phase 3 time /t net stop seosdrv @echo Stop phase 3 time /t wait 1200 seosd -start wait 1200 @echo Start phase 4 time /t net stop seosdrv @echo Stop phase 4.1 time /t secons -s @echo Stop phase 4.2 time /t wait 1200 goto begin 6. このテストを少なくとも 24 時間実行します。テスト中に seosd がクラッシュした場合、問題が再現されたことになります。 予期される結果: - Stop Error 画面が表示されない(ドライバ検証を有効にする必要があります)。 |
||
| 3 | 2 | UNAB | UNAB の実行後に、sudo で以前にアクセスできたユーザへのアクセスが拒否される問題を修正しました。 | AC126SP20814 | Solaris Sparc | sudo が UNAB と連携して正常に動作しません。Solaris の initgroups API は、NSS サブシステムと通信する内部 API _getgroupsbymember() を呼び出して、ユーザがローカル グループおよび Active Directory グループの両方に含まれる場合に、Active Directory グループのみのユーザ グループ リストを誤って取得するためです。 | Active Directory ユーザ グループを pam_uxauth.so に設定し、id -a および sudo 操作から正しい出力が得られるようにします。 注: Active Directory ユーザであり、ローカル グループのメンバでもあるカスタマは 12.6SP2 で問題が発生します。 |
||
| 4 | 2 | UNIX エンドポイント カーネル モード | ネットワーク イベントの syscall フックを実装することで、カスタマがアプリケーション Web ページの更新を試行したときに遅延が発生する問題を修正しました。 | AC126SP20927 | Solaris Sparc | 根本原因は不明です。 | Httpd による Web ページの更新 | 回避策として、ネットワーク イベントの syscall フックを実装し、ネットワーク イベントでの STREAMS の使用をバイパスします。 | |
| 5 | 2 | UNIX エンドポイント ユーザ モード UNIX エンドポイント カーネル モード |
ネットワーク イベントの syscall フックを実装することで、カスタマがアプリケーション Web ページの更新を試行したときに遅延が発生する問題を修正しました。 | AC126SP20927 AC126SP20928 |
HPUX PA-RISC、HPUX IA64 | 根本原因は不明です。 | 回避策として、ネットワーク イベントの syscall フックを実装し、ネットワーク イベントでの STREAMS の使用をバイパスします。 | ||
| 6 | 2 | UNIX エンドポイント カーネル モード | ネットワーク イベントの syscall フックを実装することで、カスタマがアプリケーション Web ページの更新を試行したときに遅延が発生する問題を修正しました。 | AC126SP20867 | Solaris Sparc | 根本原因は不明です。 | SSH トンネル、CM ストリームの有効化 | このパッケージ内の回避策では、ネットワーク イベントの syscall フックが実装され、ネットワーク イベントでの STREAMS の使用をバイパスします。 | |
| 7 | 3 | UNIX エンドポイント ユーザ モード | root のアクセスが許可されている場合でも Serevu が root に対して監査イベント警告を生成する CA ControlMinder の問題を修正しました。 | AC126SP20904 | LINUX all | ControlMinder カーネルは gnome セッションの終了を検出し、それが GDM ログアウト イベントであると見なします。GDM で、ログアウト カーネルは GDM セッションに関連付けられた ACEE ハンドラを消去し、ControlMinder は起動時に GDM に対して acee=1 (root) ハンドラを割り当てます。この ACEE は他の root プロセスにも関連付けられているため、ログアウトにより ACEE=1 が削除されると、他の root プロセスが未定義になります。 | ルート GDM ログアウト | 起動時に LOGINAPPL root プログラムに対して新しい ACEE を割り当てるよう seosd を設定します。 | 1. GDM(GUI コンソール)を通じて root セッションにログインします。 2. ssh を通じて別の root セッションにログインします。 3. ControlMinder を起動します。 4. root GDM からログアウトします。 5. ssh セッションで以下の手順を行います。 - 5.1 "sewhoami" の実行 - 予期される結果: root - 5.2 secons -k 19 の実行 - 予期される結果: 他のプロセスでは変更はないが、いくつかの "gdm" プロセスに未定義のユーザが含まれる。 |
| 8 | 3 | UNIX エンドポイント ユーザ モード | SEOS_syscall のロード中にシステムがクラッシュする CA ControlMinder の問題を修正しました。 | AC126SP20920 | Solaris Sparc | システム クラッシュの原因は、誤った SEOS_syscall カーネル モジュールがロードされ、カーネル関数が不正なポインタにアクセスしたことによるものです。 | スクリプトを変更して "OSMIC=c" を設定することで、正しいモジュールがロードされます。次に SEOS_load -u を実行し、SEOS_load を再実行すると "getvar.sh" がコールされ、適切な SEOS_syscall リンクが設定されます。 | ||
| 9 | 1 | UNIX エンドポイント カーネル モード | Tripwire および CA ControlMinder の実行中に ControlMinder でスタック オーバーフローが発生する問題を修正しました。 | AC126SP20923 AC126SP20929 |
Solaris Sparc、Solaris x86 | AC および Dtrace が誤った順序でアンフックすると問題が発生します。どちらの製品が先に起動するかによって、システム パニックまたは SEOS_syscall のアンロード不可が発生します。 | AC および Dtrace が誤った順序でフックおよびアンフックする | 解決方法: 1. SEOS_syscall のアンロード問題に対するマイナー修正は、AC でシステム コール フックが正常に有効化した場合に SEOSF_DISABLE_FAIL フラグをリセットすることです。 2. メジャー修正は、CA ControlMinder がアンフックする際に Dtrace がアンフックされているかどうかを確認することです。その場合は、replace_sysc ではなく systrace_sysent に格納されている元の関数ポインタをリストアします。この方法によってシステム パニックを回避できます。 回避方法: 1. 常に ControlMinder を起動した後に Dtrace セッションを実行します。 2. ControlMinder を停止する場合は、すべての Dtrace セッションが終了していることを確認します。ControlMinder が誤った順序で停止している場合は、以下の手順に従います。 a. ControlMinder を再起動します。 b. すべての Dtrace セッションが終了していることを確認します。 c. ControlMinder を停止します。 d. ControlMinder を再起動します。 e. ControlMinder を停止し、SEOS_syscall をアンロードします。 |
2 つの問題があります。システム パニックの発生と、SEOS_syscall のアンロードができなくなる問題ですシステム パニックの発生を再現するには、以下の手順に従います。 0. 再起動します。 1. SEOS_syscall のみをロードします。 2. Dtrace スクリプトを実行します。例: dtrace -n syscall:::entry'/pid == 333/{ @syscalls[probefunc] = count(); }' 333 は inetd の PID です。 3. AC を起動します。 4. Dtrace スクリプトを終了します。 5. ControlMinder を停止します(SEOS_syscall はアンロードしません)。 6. ControlMinder を再起動します。 7. Dtrace スクリプトを再実行します。システム パニックが発生します。 SEOS_syscall のアンロード不可を再現するには、以下の手順に従います 0. 再起動します。 1. ControlMinder を起動します。 2. Dtrace スクリプトを実行します。(上記を参照してください。) 3. AC を停止します(SEOS_syscall はアンロードしません)。 4. Dtrace スクリプトを終了します。 5. ControlMinder を再起動します。 6. Dtrace スクリプトを再実行します。 7. Dtrace スクリプトを終了します。 8. ControlMinder を停止します。 9. SEOS_syscall をアンロードします。アンロードに失敗します。 |
| 10 | 2 | Windows エンドポイント ユーザ モード UNIX エンドポイント ユーザ モード |
複数のエンドポイントの +reportagent パスワードを変更するとパスワードが文字化けする CA ControlMinder の問題を修正しました。 | AC126SP20915 | Windows all | ACMQ_Management スタティック ライブラリ内の ACMQCredentialsManagment_pre() は、acmqclient.dat の更新に使用されるプロパティ "CLR_PASSWD" ではなく "OLD_PASSWD" からの値を渡します。 | 関数 ACMQCredentialsManagment_pre() 内のプロパティ "OLD_PASSWD" を "CLR_PASSWD" に置き換えます。 | 1. ControlMinder を停止します。 2. selang -l AC> eu +ReportAgent password(secret) grace- nonative 3. ReportAgent をデバッグ モードで実行します。 ReportAgent.exe -debug 0 -task 1 エラーが生成されます。 [ACMQ TIBCO ERROR]: tibemsConnectionFactory_CreateConnection failed on line: 878 with error: 6; 4. ControlMinder を起動します。 5. selang AC> eu +ReportAgent password(secret) grace- nonative 6. ControlMinder を停止します。 7. ReportAgent をデバッグ モードで実行します。 ReportAgent.exe -debug 0 -task 1 同じエラーが表示されます。 |
|
| 11 | 2 | UNAB | uxconsole -register コマンドを実行すると「<customer.site> 内のサイトのリストを取得できませんでした」というメッセージが表示される UNAB の問題を修正しました。 | AC126SP20909 | Unix all | uxconsole には 1,000 サイトの制限があり、これは一部のカスタマにとって不十分な数でした。 | ページされた LDAP 検索を使用するように uxconsole オブジェクト コードを更新する修正が実装され、1000 サイトの制限はなくなりました。 | ||
| 12 | 2 | UNAB | ユーザが SSH キーを使用してログインできない CA ControlMinder の問題を修正しました。 | AC126SP20900 | Unix all | SSH デーモンによってコア ファイルが作成されます。 | 通信関数のポインタを逆参照/コールする前にそれが設定されていることを確認します。これにより、設定されていない通信関数の呼び出しを回避できます。 | ||
| 13 | 2 | UNIX エンドポイント カーネル モード | ファイル ルールの変更に GAC マスクが適用されているファイルが含まれている場合に、GAC テーブルがフラッシュされないという問題を修正しました。 | AC126SP20901 | Unix all | ControlMinder_DCMfileWash() 関数をアクティブ化し、ファイル ルールが変更されたときに呼び出します。 | |||
| 14 | 3 | UNIX エンドポイント ユーザ モード | UNAB のアンインストール後に system-auth シンボリック リンクが実ファイルになってしまう問題を修正しました。 | AC126SP20905 | LINUX all | 製品をアンインストールすると、シンボリック リンクが上書きされて実ファイルに変更されます。シンボリック リンクの確認が必要です。 | pam conf がシンボリック リンクである | conf_file=$1 行の後に新しい関数 "Check_jump_on_new_linux_pam()" が実装されました。この関数はシンボリック リンクが必要かどうかを確認し、実ファイルの PAM 設定をシンボリック リンクにリストアします。 | 1. cd /etc/pam.d 2. mv system-auth system-auth-ac 3. ln -s system-auth-ac system-auth 4. ControlMinder をインストールします。 5. ControlMinder をアンインストールします。 予期される結果: system-auth はシンボリック リンクとして残ります。 実際の結果: system-auth は実ファイルになります。 |
| 15 | 3 | UNIX エンドポイント ユーザ モード | sesudo ユーティリティの警告モードが拡張され、リソースおよびクラスの WARNING モードが検証されるようになりました。 デフォルトでは、トークン "echo_command=yes" がない場合、警告メッセージは出力されません。 |
AC126SP20894 | Unix all | ||||
| 16 | 2 | Windows エンドポイント ユーザ モード UNIX エンドポイント ユーザ モード |
AgentManager が起動時にクラッシュする CA ControlMinder の問題を修正しました。 | AC126SP20896 | Windows all Unix all |
VM イメージが正しく設定されていません。 | 修正を適用して VM イメージを再設定します。 | ||
| 17 | 3 | Windows エンドポイント ユーザ モード | PACL でアスタリスクをプログラム名として定義できるが、実際には PACL として動作しないという ControlMinder の問題を修正しました。 | AC126SP20897 | Windows all | 一般ポリシーとしてアスタリスクを定義できる。 | PACL にはアスタリスクを指定しないでください。 | 1. er FILE c:\temp\share\* owner(nobody) defacc(none) audit(a) 2. auth FILE c:\temp\share\* uid("Administrator") access(all) via(pgm(*)) 実際の結果: auth コマンドが成功します。ただし、PACL が存在していても管理者は c:\temp\share\* にアクセスできません。 予期される結果: アスタリスクを含む PACL は追加できません。 |
|
| 18 | 3 | UNIX エンドポイント ユーザ モード | PACL でアスタリスクをプログラム名として定義できるが、実際には PACL として動作しないという ControlMinder の問題を修正しました。 | AC126SP20898 | Unix all | 一般ポリシーとしてアスタリスクを定義できる。 | PACL にはアスタリスクを指定しないでください。 | 1. er FILE c:\\temp\\share\\* owner(nobody) defacc(none) audit(a) 2. auth FILE c:\\temp\\share\\* uid("Administrator") access(all) via(pgm(*)) 実際の結果: auth コマンドが成功します。ただし、PACL が存在していても管理者は c:\\temp\\share\\* にアクセスできません。 予期される結果: アスタリスクを含む PACL は追加できません。 |
|
| 19 | 2 | Windows エンドポイント ユーザ モード | ドメイン ユーザのログイン時に XUSER が作成されない問題を修正しました。システムにログインするユーザが Windows サーバのローカル ユーザの場合にのみ XUSER が作成され、ユーザが Windows サーバと同じドメインまたは異なるドメインに属している場合は XUSER は作成されません。 | AC126SP20888 | Windows x64 | 「ログオン セッション ID」が ACEE ハンドル ケースにマップ済みであるため、 XUSER が作成されません。 | ユーザがワークステーションにログインすると、「ログオン セッション ID」が ACEE ハンドルにすでにマップされている | 1. XUSER/XGROUP およびすべての FILE /GFILE ルールを削除します。 2. ログインします。 3. XUSER が定義されません。 |
|
| 20 | 3 | UNIX エンドポイント ユーザ モード | seversion がクラッシュして Segmentation fault エラーが生成される CA ControlMinder の問題を修正しました。 |
AC126SP20891 | LINUX x64 | seversion_search() でのバッファ オーバーフロー | ディレクトリへのパスをバイパスし、ループ内で現在の配列インデックスをチェックすることで問題を回避します。 | 1. Linux x64 RH 5.9 ~ 6.4 上に CA ControlMinder をインストールします。 2. seversion -a /opt/CA/AccessControl/lib を呼び出します。 3. 予期される結果: モジュール名: バージョン+(Min) コンパイル日 ../lib/ N/A.N/A コンパイル日がありません 実際の結果: Segmentation fault(コア ダンプ) |
|
| 21 | 4 | UNAB | UNAB が Grid Control エージェントを含む Solaris にインストールされ、PAM と共に動作するように設定されている場合に、すべてのグリッド コントロール機能は正常に動作するが OS コマンドが正常に実行されない問題を修正しました。 | AC126SP20892 | Unix all | 64 ビット ケース コードのエラー | 64 ビット ケース コードが修正され、修正済みの正式な 64 ビット pam_uxauth.so モジュールがアップロードされました。 | ||
| 22 | 3 | Windows エンドポイント ユーザ モード | policyfetcher が seosdb を一時ディレクトリにコピーしようとして、そのディレクトリに対してポリシー スクリプトを実行する(seosdbpolicy_verification が yes に設定されている場合)、CA ControlMinder ポリシー検証の問題を修正しました。その結果、policyfetcher.log にエラーが表示され、ポリシーはデプロイされません。 | AC126SP20882 | Windows all | データベースのバックアップ中に、前回のポリシー検証からの seos.error および seos.audit ファイルが削除されませんでした。 | Windows 環境で、2 回目のポリシー デプロイメント時に発生します。最初のデプロイメントでは問題ありません。 | seosd.exe に修正を適用するか、または policy_verfication をオフにします。 | regedit で、policy_verification = yes に設定します。または 1. シンプルなポリシーを 2 つ作成し、それらに GHNODE を割り当てます。 2. GHNODE にエンドポイントを追加し、そのエンドポイント内の policyfetcher の次のサイクルまで待機します。policyfetcher.log にエラーが表示されます。たとえば、p1 および p2 が作成されるとします。 p1 および p2 を GHNODE TestGrp に割り当てます。次に AC>er GHNODE TestGrp mem(endpoint) を実行します。 2 つのポリシー(p1 および p2)はエンドポイント内の policyfetcher によって取得されます。 以下にエラーを示します: 04:20:23@Mar 17 2013 - verification option: copy the database to C:Program FilesCAAccessControlDatadeploy_check_db 04:20:23@Mar 17 2013 - verification option: failed to copy the database to C:Program FilesCAAccessControlDatadeploy_check_db, rv = 631 |
| 23 | 3 | UNIX エンドポイント ユーザ モード | policyfetcher が seosdb を一時ディレクトリにコピーしようとして、そのディレクトリに対してポリシー スクリプトを実行する(seosdbpolicy_verification が yes に設定されている場合)、CA ControlMinder ポリシー検証の問題を修正しました。その結果、policyfetcher.log にエラーが表示され、ポリシーはデプロイされません。 | AC126SP20883 | Unix all | データベースのバックアップ中に、前回のポリシー検証からの seos.error および seos.audit ファイルが削除されませんでした。 | policy_verification がオンの場合 | seosd.exe に修正を適用するか、または policy_verfication をオフにします。 | エンドポイントで以下を実行します: vi seos.ini policy_verification = yes DMS__ server でポリシーを作成して、このエンドポイントに割り当てます。 |
| 24 | 3 | UNIX エンドポイント ユーザ モード | sudo プログラムがリソース警告モードを読み取ってもそれをアクセス ルールに適用しない ControlMinder の問題を修正しました。sudo プログラムは警告内の SUDO クラスをチェックしません。 | AC126SP20875 | Unix all | sudo はアクセスを許可するときに警告モードを適用しません。 | 警告モードでの sudo ルール | sudo ルールに警告モードが含まれる場合、sudo リソースへのアクセスを許可して適切な監査を保存します。 | 1. sudo ルールを設定します: AC> er program /opt/CA/AccessControl/bin/sesudo defaccess(x) AC> nr SUDO rm data('/usr/bin/rm;-rf;') defaccess(n) warning 2. 'test' ユーザとしてログインし、以下のコマンドを実行します: % ./sesudo -list rm : /usr/bin/rm;-rf; $ touch /tmp/test $ ./sesudo rm -rf /tmp/test sesudo: '-rf' をパラメータ番号 1 として使用することは許可されていません。 正しい結果: アクセスが許可され、監査レコードの警告が表示されます。 =============================== 警告モードでの SUDO クラスもテストします AC> so class(SUDO) flags+(W) |
| 25 | 2 | UNAB | 複数のシステムで uxauthd を実行すると、ログインの認証時にエラー(ID 406823 user.error)が発生する UNAB の問題を修正しました。 | AC126SP20876 | Unix all | SHM セグメントは、Toolgrade 製品の一部である shrdemon プロセスがコールする shrdemon によって削除されます。 | uxauthd バイナリをアップロードして、UNAB の sSHM セグメントにアタッチされているプロセスの数を 1 に保持します。 | ||
| 26 | 3 | UNIX エンドポイント ユーザ モード | PMD が localhost との接続を失う CA ControlMinder の問題を修正しました。 | AC126SP20877 | Unix all | seagent exit ログインで uid が見つからないというコーディングの問題によって認証に失敗します。 | 再現手順を確認してください。この問題を再現するには AC>env pmd を実行する必要があります。 | 回避策は、"host localhost" を再実行してデータベースに再接続し、seagent exit の uid を取得することです。 | 1. root または CM 管理者としてログインします 2. AC>env Unix AC(UNIX)>nu user01, AC(UNIX)>ng TESTGRP AC(UNIX)>join user01 group(TESTGRP) AC(UNIX)> env seos AC> exg TESTGRP admin AC> auth terminal hostname.ca.com xgid(TESTGRP) access(all) 3. user01 としてログインし、selang を実行します。 4. AC>env pmd 5. AC>env seos AC>find user ----> You are not connected to any pmdb. 上記のメッセージは表示されるべきではありません。 |
| 27 | 3 | UNIX エンドポイント ユーザ モード | Linux X64 システム上の ControlMinder で install_base スクリプトがパラメータなしで実行された場合にエラー メッセージが表示される問題を修正しました。 | AC126SP20878 | All | 両方の tar.Z ファイルが配置されており、X64 システムではいずれのファイルも有効です。 | このスクリプトを Linux X64 システムで実行し、x86 および X64 パッケージの両方が配置されている場合 | X64 システムでは、コマンド ラインでパラメータを入力し(./install_base _LINUX_X64_126.tar.Z)、install_base スクリプトによる判断を不要にします。 | Linux X64 システムで、 _LINUX_126.tar.Z および _LINUX_X64_126.tar.Z を同じディレクトリに配置します。 引数なしで ./install_base を実行すると、以下のようなエラー メッセージが表示されます。 エラー: インストール ファイルが見つかりません エラー: ./ に Linux インストール ファイルがありません (./_LINUX_???.tar.gz) インストールを中止しています |
| 28 | 2 | UNAB | UNAB PAM が Linux authconfig と競合して UANB PAM フックが失われる UNAB の問題を修正しました。 | AC126SP20865 | LINUX all | AS 5.x および 6.x 上の authconfig ユーティリティが system-auth (および存在する場合は password-auth)を再書き込みし、UANB PAM フックが失われます。 | authconfig が UNAB PAM フックと競合する | UNAB PAM インストール スクリプトは、system-auth (および存在する場合は password-auth)を system-auth-cm へのリンクに変更します。これにより、UNAB PAM フックは authconfig によってステップ オーバーされなくなり、authconfig の変更は、system-auth-ac (および存在する場合は password-auth-ac)内に反映されます。authconfig の変更を system-auth (および存在する場合は password-auth)にマージするツールを導入しました。 | UNAB のインストール後に 'authconfig --update' を実行します。system-auth(および存在する場合は password-auth)で UNAB PAM フックが発生しなくなります。 |
| 29 | 3 | Windows エンドポイント ユーザ モード | CA ControlMinder RDP ログイン セッションの切断に 20 ~ 30 秒かかる問題を修正しました。 | AC126SP20869 | Windows all | TERMINAL ルール auth access(none) を適用すると RDP 接続をクローズする前に遅延が発生します。 | ターミナル サービスのスレッドが不要なセッションのホスト名を解決しないように以前の修正を適用します。 | ||
| 30 | 3 | Windows エンドポイント ユーザ モード | USER クラスに見つかったユーザを XUSER クラスに追加すると、誤った成功監査ログ レコードが生成される CA ControlMinder の問題を修正しました。 | AC126SP20870 | Windows all | ユーザが異なるクラスに存在するかどうかにかかわらず、常に成功が返されます。 | AC ユーザを追加するときに同じユーザが xuser クラスにすでに存在する OS ユーザを追加するときに同じユーザが user クラスにすでに存在する |
1. ControlMinder を OS ユーザを有効にしてインストールします。 2. user クラスのユーザを作成します。 AC> eu (user) audit(all) (localhost) Successfully created USER ENUadministrator 3. xuser クラスで同じユーザを作成します。 AC> exu () audit(all) (localhost) ERROR: Failed to create XUSER ERROR: USER (user)r already exists in database. 予期される結果: exu コマンドの監査レコードが失敗します。 実際の結果: exu コマンドの監査レコードが成功します。 25 Feb 2013 19:34:17 S UPDATE XUSER (user) |
|
| 31 | 3 | UNIX エンドポイント ユーザ モード | USER クラスに見つかったユーザを XUSER クラスに追加すると、誤った成功監査ログ レコードが生成される CA ControlMinder の問題を修正しました。 | AC126SP20870 AC126SP20871 |
Unix all | ユーザが異なるクラスに存在するかどうかにかかわらず、常に成功が返されます。 | AC ユーザを追加するときに同じユーザが xuser クラスにすでに存在する OS ユーザを追加するときに同じユーザが user クラスにすでに存在する |
1. ControlMinder を OS ユーザを有効にしてインストールします。 2. user クラスのユーザを作成します。 AC> eu (user) audit(all) (localhost) Successfully created USER ENUadministrator 3. xuser クラスで同じユーザを作成します。 AC> exu () audit(all) (localhost) ERROR: Failed to create XUSER ERROR: USER (user)r already exists in database. 予期される結果: exu コマンドの監査レコードが失敗します。 実際の結果: exu コマンドの監査レコードが成功します。 25 Feb 2013 19:34:17 S UPDATE XUSER (user) |
|
| 32 | 2 | UNIX エンドポイント ユーザ モード | syslog 上にある serevu からの全般メッセージが ERR カテゴリになるという、AIX 環境での CA ControlMinder 12.6 SP1 の問題を修正しました。 | AC126SP20872 | Unix all | seagent ハンドシェイクの準備ができていないため、CRIT ハンドシェイク失敗メッセージが作成されます。 | fips のみで CM をインストールする | 修正(T4CC213)の実装により、seagent とのハンドシェイクを呼び出す前に serevu の起動を 60 秒遅延させて CRIT ハンドシェイク失敗メッセージが表示されないようにしました。 | 1. ControlMinder を OS ユーザを有効にしてインストールします。 2. user クラスのユーザを作成します。 AC> eu (user) audit(all) (localhost) Successfully created USER ENUadministrator 3. xuser クラスで同じユーザを作成します。 AC> exu () audit(all) (localhost) ERROR: Failed to create XUSER ERROR: USER (user)r already exists in database. 予期される結果: exu コマンドの監査レコードが失敗します。 実際の結果: exu コマンドの監査レコードが成功します。 25 Feb 2013 19:34:17 S UPDATE XUSER (user) |
| 33 | 2 | UNIX エンドポイント ユーザ モード | モニタリング ツールが selogrd によるプライベート メモリの使用を検出する CA ControlMinder の問題を修正しました(6 時間に 132 KB のレート)。 | AC126SP20859 | Unix all | 共有ライブラリが解放されないため、selogrd でメモリ リークが発生します。 | 共有オブジェクト(SNMP 共有オブジェクト)を使用するように selogrd が設定されている | 共有オブジェクト(SNMP)を使用するように selogrd を設定すると、再起動時に共有ライブラリが解放されません。 | 1. ./etc/selogrd.ext を以下の内容で作成します。 cat snmp /opt/CA/AccessControl/lib/snmp.so 2. ./log selogrd.cfg を以下の内容で作成します。 CACM_SNMP_Warning snmp <hostname> include Class(*FILE*) Code(W). <dot> CACM_SNMP_Deny snmp <hostname> include Class(*FILE*) Code(D). exclude access(*Read*). exclude access(*Exec*). exclude access(*Chdir*). <dot> 3. selogrd を実行します。 4. ps -axl を使用して selogrd のプロセス サイズを定期的に確認します。 |
| 34 | 3 | Windows エンドポイント ユーザ モード | XGROUP に日本語の文字列を使用する CA ControlMinder カスタマが、secons -checkSID -groups コマンドで文字化けした文字列を受け取る問題を修正しました。 | AC126SP20860 | Windows all | オブジェクト名が UTF8 からマルチバイトに変換されていませんでした。 | クラスのオブジェクト名がマルチバイトである | オブジェクト/アカウント名を UTF8 からマルチバイトに変換します。 | 1. いくつかのクラス(ユーザ、グループなど)に日本語のオブジェクトを作成します。 2. dbmgr -dump l <class> を実行します。 3. オブジェクト名が文字化けしていないことを確認します。 |
| 35 | 3 | Windows エンドポイント ユーザ モード | XGROUP に日本語の文字列を使用する CA ControlMinder カスタマが、secons -checkSID -groups コマンドで文字化けした文字列を受け取る問題を修正しました。 | AC126SP20862 | Windows all | アカウント名が UTF8 からマルチバイトに変換されていませんでした。 | 日本語の xgroup が seosdb に作成される | オブジェクト/アカウント名を UTF8 からマルチバイトに変換します。 | 1. いくつかのクラス(ユーザ、グループなど)に日本語のオブジェクトを作成します。 2. dbmgr -dump l <class> を実行します。 3. オブジェクト名が文字化けしていないことを確認します。 |
| 36 | 2 | UNIX エンドポイント カーネル モード | アプリケーション アプライアンス上で CA ControlMinder を起動するとエラー メッセージが表示される CA ControlMinder の問題を修正しました。 | AC126SP20863 | LINUX x64 | サポートされていないアプライアンス設定。 | アプライアンスをサポートされているカーネル バージョンにアップグレードします。 | ||
| 37 | 2 | UNIX エンドポイント ユーザ モード | UNAB PAM インストーラが authconfig との競合により pam_seos.so バイナリを含むファイルを更新しない問題を修正しました。 | AC126SP20864 | LINUX all | この問題は、AS 5.x および 6.x 上の authconfig ユーティリティが system-auth (および存在する場合は password-auth)を再書き込みし、UANB PAM フックが失われた場合に発生します。 | authconfig が CM PAM フックと競合する | UNAB PAM ポスト インストール スクリプトを導入し、ControlMinder が 'authconfig' による PAM 設定ファイルの変更と共存できるようにします。このスクリプトは、authconfig の変更を system-auth (および存在する場合は password-auth)にマージして system-auth-cm へのリンクにします。これにより、UNAB PAM フックは authconfig によってステップ オーバーされなくなり、authconfig の変更は、system-auth-ac (および存在する場合は password-auth-ac)内に反映されます。README ファイルにスクリプトの使用方法が説明されています。 | CM のインストール後に 'authconfig --update' を実行します。system-auth(および存在する場合は password-auth)で CM PAM フックが発生しなくなります。 |
| 38 | 3 | UNIX エンドポイント ユーザ モード | シェル名が正しく設定されていない場合に SSH を使用する Active Directory ユーザがログインに 4 ~ 10 分かかる UNAB の問題を修正しました。 | AC126SP20850 | Unix all | KBL が有効な場合、DNS 内のクライアント IP アドレスのルックアップが試行され、KBL 監査マネージャが停止します。 | kbl_enable = yes システムで /bin/ksh93 が使用されている 問題は、ログインに長時間かかることです。 |
ログイン プロセスで cmdlog のみが実行されるように、新しい cmdlog の設計が実装されました。 | RedHat Linux x64 ビット システムで、デフォルト シェルを /bin/ksh93 にして kbl_enabled = yes に設定します。 |
| 39 | 2 | UNIX エンドポイント ユーザ モード | syslog で serevu からの全般メッセージが ERR カテゴリになるという、AIX での CA ControlMinder の問題を修正しました。 | AC126SP20872 AC126SP20851 |
Unix all | seagent ハンドシェイクの準備ができていないため、CRIT ハンドシェイク失敗メッセージが作成されます。 | 修正(T4CC213)の実装により、seagent とのハンドシェイクを呼び出す前に serevu の起動を 60 秒遅延させて CRIT ハンドシェイク失敗メッセージが表示されないようにしました。 | fips のみで CM をインストールします。 seos.ini で "serevu = yes" を設定します。 CM を起動して syslog を確認します。 |
|
| 40 | 2 | UNIX エンドポイント ユーザ モード | クラス B およびクラス C として定義されている 2 つの HOSTNET ルールが存在する場合に、クラス B は見つかるがクラス C は BIG ENDIAN で見つかるという ControlMinder の問題を修正しました。 | AC126SP20843 | Unix all | マスクに対する ENDIAN がチェックされておらず、すべてのプラットフォームで同じように処理されていました。 | 1. BIG ENDIAN 2. クラス B およびクラス C として定義されている 2 つの HOSTNET ルールが存在する |
ルール: editres HOSTNET ("1025000") audit(FAILURE) owner('nobody') mask(255.255.0.0) match(10.250.0.0) authorize HOSTNET ("1025000") access(NONE) service(*) editres HOSTNET ("1025030") audit(FAILURE) owner('nobody') mask(255.255.255.0) match(10.250.3.0) authorize HOSTNET ("1025030") access(all) service(*) 1. HOST クラスを有効化します。 2. 10.250.3.x からログインします。 予期される結果: Access allowed by HOSTNET ("1025030") 実際の結果: Access denied by HOSTNET ("1025000") |
|
| 41 | 2 | Windows エンドポイント ユーザ モード | クラス B およびクラス C として定義されている 2 つの HOSTNET ルールが存在する場合に、クラス B は見つかるがクラス C は BIG ENDIAN で見つかるという ControlMinder の問題を修正しました。 | AC126SP20845 | Solaris Sparc | マスクの優先順位が正しくありません。 | クラス B およびクラス C として定義されている 2 つの HOSTNET ルールが存在する | ルール: editres HOSTNET ("1025000") audit(FAILURE) owner('nobody') mask(255.255.0.0) match(10.250.0.0) authorize HOSTNET ("1025000") access(NONE) service(*) editres HOSTNET ("1025030") audit(FAILURE) owner('nobody') mask(255.255.255.0) match(10.250.3.0) authorize HOSTNET ("1025030") access(all) service(*) 1. HOST クラスを有効化します。 2. 10.250.3.x からログインします。 予期される結果: Access allowed by HOSTNET ("1025030") 実際の結果: Access denied by HOSTNET ("1025000") |
|
| 42 | 3 | UNIX エンドポイント ユーザ モード | cmdlog が誤った ut_id を生成し、KBL エージェントが wtmp ファイルを誤った ID で更新するという UNAB の問題を修正しました。2 つのログイン セッションに同じ ut_id があります。1 つのセッションが終了すると、同じ ID を持つもう 1 つのセッションに影響します。 | AC126SP20846 | AIX | cmdlog が誤った ut_id を生成し、KBL エージェントが wtmp ファイルを誤った ID で更新します。2 つのログイン セッションに同じ ut_id があります。1 つのセッションが終了すると、同じ ID を持つもう 1 つのセッションに影響します。 | KBL が有効 | kbl_build_new_utmp() は utmp 行から一意の ID を作成します。 | 1. seos.ini で kbl_enabled = yes を設定します。 2. CM を起動します。 3. root としてログインします。 (other host)> ssh my_host -l root (my host)# who -m root pts/4 Feb 27 20:04 (other host) 4. test としてログインします。 > ssh ismeax14 -l test (my host)$ who -m test pts/6 Feb 27 20:05 (other host) 5. test をログアウトします。 6. root の "who -m" を確認します。 (my host)# who -m root pts/4 <------------------ 日付と端末が表示されません 予期される結果: 手順 3 と同じ出力 |
| 43 | 3 | UNIX エンドポイント ユーザ モード | EnablePolicyCache が 'yes' に設定されている場合に AIX 上での起動に失敗する ControlMinder の問題を修正しました。 | AC126SP20847 | Unix all | ポリシー キャッシュが存在しないプロパティを取得しています。0 バイトのメモリを割り当てようとすると、SDBIO レイヤは SDBIO_E_ALLOCFAILED を返します。 | "EnablePolicyCache=yes" | プロパティが存在しない場合(DBIDX_E_NOTFOUND)、0 バイトを割り当てる前に sdbio は 0 を返します。 | seos.ini で "EnablePolicyCache=yes" を設定します。 CM を起動します。 結果: CM の起動に失敗します。 |
| 44 | 2 | UNIX エンドポイント カーネル モード | マウント ポイントを新しいルートとして使用して chroot コマンドを実行するとエラー メッセージが表示される ControlMinder の問題を修正しました。 | AC126SP20848 | LINUX all | Invest. notes および問題のサマリを参照してください。 | この問題は、Linux カーネル 3.0 以降で、chroot コマンドの新しいルートがマウント ポイントであるときに発生します。 | vfsmount struct アクセス用の正しいロックを識別します。 | |
| 45 | 3 | UNIX エンドポイント カーネル モード | seosd トレースが有効である場合に、一般的なシェル スクリプトが保護されたプログラムとして誤って認識される ControlMinder の問題を修正しました。 | AC126SP20834 | Unix all | EXEC が seosd に送信される場合にそれがシェル スクリプトであるかどうかチェックされていました。 | seosd トレースが有効、 ファイル pgm を介したアクセスが許可されている、 pgm を介した sesu によるファイル アクセスが実行される、 一般的なシェル スクリプトから sesudo がコールされる |
1. 作業ディレクトリ/ファイルを作成します。 mkdir /tmp/test chmod 777 /tmp/test touch /tmp/test/date.log 2. シェル スクリプト test.sh および sesudo.sh を作成します。 /tmp/test.sh #!/bin/sh echo `date` > /tmp/test/date.log /tmp/sesudo.sh #!/bin/sh /opt/CA/AccessControl/bin/sesudo test 3. 権限を付与します。 chmod 777 /tmp/sesudo.sh chmod 777 /tmp/test.sh 4. AC ポリシーを作成します。 eu murte01 password(murte01) editres FILE ("/tmp/test/*") audit(ALL) defacc(READ) owner('root') authorize FILE ("/tmp/test/*") acc(a) id('*') via(pgm(/tmp/test.sh)) er program /opt/CA/AccessControl/bin/sesudo defacc(x) editres SUDO ("test") audit(FAILURE) comment('/tmp/test.sh;;*') defacc(NONE) owner('nobody') targuid('root') authorize SUDO ("test") acc(EXECUTE) uid('murte01') 5. sesudo.sh を実行します。 sesudo.sh 予期される結果: 実行に成功します。 実際の結果: "/tmp/test/*" へのファイル アクセスが拒否されます。 |
|
| 46 | 3 | UNIX エンドポイント ユーザ モード | パスワードなしで作成されたユーザ アカウントが無効にならない ControlMinder の問題を修正しました。 | AC126SP20838 | Unix all | この問題を再現するには、/etc/shadow 内にあるユーザのパスワードを * のみにします。 | seagent に修正を適用します。 | AC>eu user01 Unix vi /etc/shadow を実行し、暗号化フィールドに * 文字のみがあることを確認します。 AC>eu user01 enable Unix vi /etc/shadow を再実行すると、* が削除されてパスワード フィールドが空になっています。 |
|
| 47 | 2 | Windows エンドポイント ユーザ モード | バッファ サイズが不十分(255 バイト)であるために、URL の数が 6 を超える場合に Distribution_Server の値が ReportAgent によって切り捨てられる ControlMinder の問題を修正しました。 | AC126SP20840 | Windows all | ServerURL のサイズを 2048 バイトに拡張し、現在アクティブなサーバ URL を取得するための tibems 関数を追加します。 | |||
| 48 | 2 | UNIX エンドポイント カーネル モード | readdir() をコールする realpath コードでループを回避するためのコール数制限を行っていなかったために Java プロセスが応答を停止する ControlMinder の問題を修正しました。 | AC126SP20825 | HPUX PA-RISC、HPUX IA64 | readdir() をコールする AC realpath コードで、ループを回避するためのコール数制限を行っていませんでした。 | AC のアンロードをブロックする Java プロセス | ||
| 49 | 3 | UNIX エンドポイント カーネル モード | SPECIALPGM FULL バイパス フラグが無視される問題を修正しました。 | AC126SP20817 | Unix all | インターセプトの開始からカーネル プロセス テーブルへのプッシュまでの間には一定の時間があります。一部のプロセスでは、カーネル プロセス テーブル内にエントリが作成される前に、CM ハンドラに入ります。その結果、プロセスのバイパス フラグが見つからなくなります。 | SMP machine、specaialpgm フル バイパス、CM の起動 | 1. specialpgm バイパス フラグを検出するように ProcServer_1st_round2kernel() を変更します。 2. カーネル関数 SEOS_procserver_update() を変更して、カーネル内に保存されたフラグを更新します。 |
この問題は最初に HPUX 環境で発見されました。プロセスがバイパスされない問題が再現されました。 テスト用に作成したプログラム /opt/rational/clearcase/etc/albd_server で、setuid コールを実行する 200 のプロセスを生成しました。 プログラムは DB 内のバイパスに対して定義されました。 AC> nr specialpgm /opt/ibm/RationalSDLC/clearcase/hp11_ia64/etc/db_server pgmtype(FULL) /opt/rational/clearcase/etc/albd_server の開始後、一部の子プロセスがトレースに表示されました。 |
| 50 | 3 | UNIX エンドポイント カーネル モード | デバイス保護のカーネル ハンドラが無効なエラーを返す ControlMinder の問題を修正しました。 | AC126SP20818 | Solaris Sparc | デバイス保護のカーネル ハンドラが無効なエラーを返します。 | CM のデバイス保護が有効 | mknod ハンドラで FIFO デバイスを無視します。 | seos.ini で "file_rdevice_max = 100" を設定します。 CM を起動します。 mkfifo /tmp/myfifo mkfifo: No such device 予期される結果: エラーは表示されません。 |
| 51 | 3 | UNAB | 引用符(")を使用してトークンが設定されているために、起動時に CASHCOMP の値が使用されないという UNAB の問題を修正しました。 | AC126SP20822 | LINUX x64 | ||||
| 52 | 2 | UNIX エンドポイント カーネル モード | Red hat 6 ワークステーションが認識されずモジュールをロードできない ControlMinder の問題を修正しました。 | AC126SP20806 | LINUX all | ワークステーションが認証されていませんでした。このパッケージでサポートが追加されました。 | ワークステーションを検出するように getvar.sh が更新されました。 | ||
| 53 | 2 | UNIX エンドポイント カーネル モード | AC126SP20793 | Solaris Sparc | |||||
| 54 | 3 | Windows エンドポイント ユーザ モード | リモート デスクトップ セッション中に、猶予カウントがゼロに到達しても[ロックアウト]画面の代わりに[有効期限切れのパスワード]画面が表示される ControlMinder の問題を修正しました。 | AC126SP20798 | Windows all | 特定の条件の端末認証では、猶予カウントが調整されます(後の減少分に対して増加分 + 1 となります)。以前の端末認証による猶予カウントがすでにゼロである場合でも、この調整により seosd は猶予カウントの拒否に失敗します。 | ユーザの猶予カウントがゼロであるときに RDP ログインを実行する | ボックス B で AC をインストールして再起動します。 AC を停止します。レジストリの GraceCountForMessage を 3 に設定します。 TermSrvTimeout を 10000 (10 秒)以上に設定します。 AC を起動します。 AC> so class+(PASSWORD) AC> nu test01 password(password) AC> cu test01 grace(0) ボックス A から ボックス B にユーザ "test01" で RDP ログインを実行します。 予期される結果: "The referenced account is currently locked out" 実際の結果: "Your password has expired and must be changed" |
|
| 55 | 3 | UNIX エンドポイント ユーザ モード | ControlMinder 5.1 が実行されているエンドポイントへの接続を試行するとエラー メッセージが表示される CA ControlMinder の問題を修正しました。 | AC126SP20765 | Unix all | この問題の原因は AC126SP11253 です。 | 1 つ目のエンドポイントに 12.6 SP1 をインストールし、もう 1 つのエンドポイントに 5.1 をインストールして、12.6 sp1 から 5.1 への接続を試行する | ファイルを seagent、sepmdd、および selang に適用してください。 | 1 つ目のエンドポイントに 12.6 sp1 をインストールします。 もう 1 つのエンドポイントに 5.1 をインストールします。(このバージョンは現在サポートされていません。) エンドポイント 12.6 sp1 にログオンし、AC>host endpoint51 を実行します。 endpoint51 で、TERMINAL クラスが無効になります。AC>so Class-(TERMINAL) 以下のようなエラーが表示されます。 エラー: データをアンパックできませんでした(クライアント コマンド) (10075) |
| 56 | 3 | UNIX エンドポイント ユーザ モード | seos.ini ファイル内の suid_cache_max トークンの説明を修正しました。 | AC126SP20766 | Unix all | ||||
| 57 | 2 | UNIX エンドポイント カーネル モード | ControlMinder の SEOS_syscall でのメモリ処理に関する問題を修正しました。 | AC126SP20768 | Unix all | コードに問題がありました。 | 親が存在した後に子が親のメモリへのアクセスを試行する | メモリが動的に割り当てられ、親のメモリが子にコピーされるようにコードが修正されました。 | |
| 58 | 2 | UNIX エンドポイント カーネル モード | CentOS 6.2 (2.6.32-220.el6.i686)上で SEOS_load を使用してエージェントを開始しようとすると失敗し、dmesg にエラーが表示されないという ControlMinder の問題を修正しました。 | AC126SP20750 | LINUX x86 | SEOS_systable_init() は使用するべきではなく、AC127 以降では完全に削除される必要があります。 | CentOS 6.2 (2.6.32-220.el6.i686)上でカーネル モジュールのロードに失敗する | 回避策はありません。解決策は修正を適用することです。 | CA ではこの問題を再現できませんでした。カスタマのサイトで、CentOS 6.2 (2.6.32-220.el6.i686)上で SEOS_load を使用してロードを試行すると失敗し、dmesg にエラーが表示されませんでした。 |
| 59 | 2 | UNIX エンドポイント ユーザ モード | seaudit -n パラメータを実行すると応答に遅延が発生する、ControlMinder のパフォーマンス問題を修正しました。 | AC126SP20752 | Unix all | seaudit は各 _CRONJOB_ の IP アドレスを取得しようとします。 | _CRONJOB_ を含む多数の LOGIN/LOGOUT レコード | ||
| 60 | 3 | UNIX エンドポイント ユーザ モード | 8 文字を超えるユーザ名を使用すると、パスワードの更新に使用される API 関数でエラーが発生するという AIX 上での ControlMinder の問題を修正しました。 | AC126SP30099 | Unix all | AIX システムの API 関数は 8 文字を超えるユーザ名をサポートしていません。 | 8 文字を超える長いユーザ名をサポートしない AIX システム | 8 文字を超えるユーザ名を使用します。 AC>eu longusername01 password(xxxxxx) /etc/security/passwd を確認します。シャドウ パスワードが更新されていません。 |
|
| 61 | 1 | UNIX エンドポイント カーネル モード | インターセプト コードが、承諾システム コールに NULL として渡された *socket_addr および *socket_len の処理に失敗する CA ControlMinder の問題を修正しました。 | AC126SP30007 | HPUX PA-RISC、HPUX IA64 | AC のインターセプト コードは、承諾システム コールに NULL として渡された *socket_addr および *socket_len の処理に失敗します。 SEOS_use_streams が no、SEOS_network_intercept_type が 2 に設定された AC が実行されている場合、接続および承諾システム コールの両方がインターセプトされます。接続および承諾システム コールには、ソケット接続を確立する役割があります。 start_all を実行して ControlMinder を起動すると、ハングアップしたように見えます。Naming_Service の開始時にブロックされているためです。Naming_Service の開始時にソケットが作成され、接続リクエストをリスンします。受信接続を待機および承諾するために承諾システム コールが呼び出されます。承諾システム コールの呼び出し時には、リスンしているソケット記述子、受信接続のソケット情報を受け取る領域のアドレス、およびソケット領域の長さを表すアドレスを指定する必要があります。しかし、Naming_Service では承諾システム コールの呼び出しに正しい方法が使用されません。クライアントのソケット情報を受け取るためのアドレスが指定されません。これによって、任意の接続を承諾することになります。 問題の根本原因は、AC が承諾コールをインターセプトするときに入力パラメータをチェックし、NULL ポインタであることを検出して EFAULT エラーを返すことにあります。承諾コールに失敗すると、Naming_Service は短い間をおいて再試行します。再試行を繰り返すことで待機時間は徐々に長くなります。AC が停止してシステム コールをインターセプトしなくなるまで、このサイクルが無期限に繰り返されます。 この修正は、AC インターセプト コード内の NULL ポインタを無視し、システム コール関数が NULL ポインタを処理できるようにします。 |
my_accept、my_accept2、my64_accept、および my64_accept2 の NULL ポインタを処理します。 | ControlMinder がセットアップされたシステムで以下の操作を実行します。 1. SEOS_use_streams=no、SEOS_network_intercept_type=2 で AC を起動します。 2. ControlMinder 管理者として start_all を実行し、ControlMinder を起動します。 3. パスワードを入力すると、ハングアップします。 AC を停止すると、ControlMinder が正常に起動します。 ControlMinder のステータスを確認するには、check_all を実行します。 ControlMinder を停止するには、stop_all を実行します。 |
|
| 62 | 2 | UNIX エンドポイント ユーザ モード | pam.conf.uxauth.bk に '#_uxauth' への参照が含まれている問題を修正しました。 | AC126SP30128 | Unix all | ||||
| 63 | 3 | UNIX エンドポイント ユーザ モード | ReportAgent が KBL 監査レコードでコア ダンプを生成して失敗する UNAB の問題を修正しました。 | AC126SP30130 | Unix all | Invest. notes を参照してください。 | "Raw" タイプを検出する条件に szKBLSessionType および szKBLSessionID のチェックを追加します。 | ||
| 64 | 2 | Windows エンドポイント ユーザ モード | 端末の名前または IP アドレスにワイルドカードを含む TERMINAL クラス ルールが認証結果で無効になる ControlMinder の問題を修正しました。 | AC126SP30122 | Windows all | Invest. notes を参照してください。 | 汎用リソース テーブル内のクライアントのホスト名または IP に一致する TERMINAL オブジェクト(ワイルドカードを含むオブジェクト)の検索が追加されました。 | CM のエンドポイント A で以下を実行します: 1. CM を停止し、HKEY_LOCAL_MACHINESOFTWAREComputerAssociatesAccessControlSeOSD で TerminalSearchOrder = name,RDPIP を指定します。 2. ユーザ tuser を作成します。 3. tuser でホスト B から A への RDP ログインを確認します。 4. CM を起動します。 5. CM ユーザ tuser を作成します。 eu tuser owner(nobody) 6. ワイルドカードを使用して、ホスト B の IP に対する TERMINAL ルールを以下のように作成します: er terminal(130.119.179.*) owner(nobody) defaccess(none) ホスト B からの RDP 接続を確認します。 予期される結果: ログインが拒否されます。 実際の結果: ログインが許可されます。 |
|
| 65 | 3 | UNIX エンドポイント ユーザ モード | KBL が有効な場合にコマンド "logout" が失敗する ControlMinder の問題を修正しました。 | AC126SP30112 | Unix all | cmdlog 内でユーザからの入力が "logout" の場合にメイン ループを break で終了します。 | 問題は再現されましたが、異なるエラーが表示されます。 1. CM をインストールします。 2. seos.ini で kbl_enabled=yes を設定します。 3. システムにログオンします。 4. # logout 3004-064 You must be the login user. |
||
| 66 | 2 | UNIX エンドポイント ユーザ モード | 起動時にエラー メッセージが表示される ControlMinder の問題を修正しました。 | AC126SP30098 | LINUX s390 | agent_manager.sh で 1. OSMAJ が未定義 2. report_agent.sh と同じ /tmp/_jver ファイルが使用され、削除される |
Linux s390 上で、レポート送信および PUPM 用に CM を設定します。 CM を起動し seload を実行して出力を確認します。 |
||
| 67 | 3 | Windows エンドポイント ユーザ モード | コマンド "dmsmgr -config- -endpoint" の実行で削除不可のレコードを削除しようとしてエラー メッセージが表示される ControlMinder の問題を修正しました。 | AC126SP30086 | Windows all | 1. CM を実行します。 2. "dmsmgr -config -endpoint" を実行します。 3. "dmsmgr -config- -endpoint" は以下を出力します。 (localhost) エラー: データベースからのレコードの削除に失敗しました レコードは削除不可としてマークされています さらに失敗したコマンドの監査レコードが出力されます: "F UPDATE HNODE tzual01w3srv\Administrator 305 0 __local__ tzual01w3srv rmres HNODE __local__" |
|||
| 68 | 3 | UNIX エンドポイント カーネル モード | エージェントの実行中にユーザが chmod コマンドを実行できない ControlMinder の問題を修正しました。 | AC126SP30090 | LINUX s390 | CM カーネル ラッパー my_execve32() が /bin/chmod のファイル名の取得に失敗します。 | s390x 64-bit RH6 または SUSE 11 上の 32 ビット java 環境 | 入力ファイル名のポインタをマスクするように my_execve32() が修正されました。 | 32 ビット java 環境で、"chmod <test/dir>" をコールする単純な java コードを作成します。 CM を起動します。 java を実行すると以下のエラーが表示されます: Cannot run program "chmod": java.io.IOException: error=14, Bad address 予期される結果: エラーは表示されません |
| 69 | 3 | UNIX エンドポイント ユーザ モード | Solaris 11 上で support.sh スクリプトを実行するとエラー メッセージが表示される ControlMinder の問題を修正しました。 | AC126SP30080 | Unix all | Invest. notes を参照してください。 | Solaris 11 | Solaris 11 では、標準の /usr/bin/ps コマンドは UCB バージョンの ps のすべてのオプションをサポートしています。 Solaris 11 で、/usr/ucb/ps の代わりに /usr/bin/ps を使用します。 Solaris 11 に showrev コマンドが存在しない場合は、実行しないでください。showrev で表示されるすべての情報は、"uname -a" コマンドで取得できます。 |
Solaris 11 システムで、"support.sh" を実行します。 |
| 70 | 3 | UNIX エンドポイント ユーザ モード | シャットダウン時にエージェントがクラッシュする ControlMinder の問題を修正しました。 | AC126SP30081 | Unix all | 終了プロシージャを 2 度実行します。 | 不明 | seosd の終了を 2 度入力しないでください。 | |
| 71 | 3 | UNIX エンドポイント ユーザ モード | selang でコマンドを入力するとエージェントがクラッシュする ControlMinder の問題を修正しました。 | AC126SP30074 | Unix all | Invest. notes を参照してください。 | 末尾に空白がある | 後で free() をコールするためにメモリ ポインタを保存します。 | |
| 72 | 2 | UNIX エンドポイント ユーザ モード | issec コマンドで ControlMinder に属する 'watchdog' という名前のプロセスが表示される ControlMinder の問題を修正しました。 | AC126SP30071 | Unix all | ||||
| 73 | 2 | Windows エンドポイント ユーザ モード | 標準以外のネットワーク設定を持つシステム上でメモリ破損が発生する ControlMinder の問題を修正しました。名前解決に NetBIOS over TCP/IP を使用するネットワークで、hosts ファイル内にリモート マシンの FQDN を含まない "IP NETBIOSNAME" のような指定がある場合に問題が発生します。 | AC126SP30051 | windows all | auth_GetObjWithFQDN() は以下を呼び出します: strcpy((char *)originalObjectName, podf-=^szOName); これはメモリ上のヒープに割り当てられた以下のようなバッファの末尾に書き込みます。 originalObjectName は NetBIOS 名 "BBB00666" のサイズに割り当てられていました。RDP クライアント ホストはこのネットワーク設定の AC エンドポイント上でこの NetBIOS 名に解決されていました。 podf->szOName バッファには、TERMINAL オブジェクト定義からのより長い "BBB00666.corp.orix.local" FQDN が含まれていました。 |
originalObjectName で指定されたメモリを、事前定義された szOName バッファ サイズに一致するサイズに再割り当てすることで修正されました。 | リモート ホストから TERMINAL ルールによって認可された AC エンドポイントに RDP 接続/切断を繰り返します。メモリ破損が発生するシステムは、名前解決に NetBIOS over TCP/IP を使用する標準以外のネットワーク設定で、hosts ファイル内にリモート マシンの FQDN が含まれていない "IP NETBIOSNAME" のような指定が含まれています。一般的なネットワーク設定を持つホスト上でテストした場合、問題は検出されませんでした。 | |
| 74 | 2 | UNIX エンドポイント カーネル モード | X86_64 Solaris での問題です。modctl システム コールが無効なリターン コードを返し、AC は SEOS_syscall カーネル モジュールがロードされているかどうかを判別できません。この場合、AC は /etc/name_to_sysnum ファイル内の SEOS_syscall エントリの有無を調べて SEOS_syscall がロードされているかどうかを判別します。/etc/name_to_sysnum 内にあるこの SEOS_syscall エントリが、SEOS_syscall モジュールのロード ステータスと同期していない場合、問題が発生します。 | AC126SP30053 | Solaris x86 | SEOS_syscall エントリが SEOS_syscall のステータスと同期しない理由は、RC スクリプト、K28SEOS、および S68SEOS が SEOS_syscall エントリを /etc/name_to_sysnum にプレースホルダとして挿入し、他の製品がこのシステム コール スロットを使用できないためです。 | Invest. notes を参照してください。 | S68SEOS および K28SEOS での name_to_sysnum の処理を削除します。 | 1. AC をインストールします。 2. 必要に応じて AC を開始して停止します。 3. AC カーネルがロードされているかどうかにかかわらず、システムを再起動します。 4. 起動中または起動後に AC を開始しないでください。 5. デフォルト シェルとして Korn Shell を使用するユーザ アカウントで、システムへの telnet 接続を試行します。 6. 接続が拒否されます。 |
| 75 | 2 | Windows エンドポイント カーネル モード | DAYTIMERES オプションが TCP 受信接続で "restrictions(days(AnyDay) time(0100:1000))" を適用しない ControlMinder の問題を修正しました。 | AC126SP30043 | Windows all | 説明を参照してください。 | 説明を参照してください。 | シナリオを正しく処理するようにドライバ コードが修正されました。 | |
| 76 | 3 | UNIX エンドポイント ユーザ モード | seaudit -a コマンドによりユーティリティがクラッシュし、デフォルトの -tr によりユーティリティがデータを継続的に処理する ControlMinder の問題を修正しました。 | AC126SP30045 | Unix all | 1. NULL ポインタ dbx) のデータ参照を試行します: [1] rle_ExpandBuff(src = (nil), size = 140, dest = 0x106b20, rectype = 5), line 138 in "rle.c" =>[2] auditlog_ReadNextRecord(pFilter = 0x106638, plfAudit = 0x11725c, offs = 0xffbfd738, plr = 0xffbfd698, data = 0x106b20, pDataSize = 0xffbfd688), line 513 in "audit_read.c" [3] auditlog_GetNextRecord(offs = 0xffbfd738, p = 0xffbfd730), line 343 in "audit_lib.c" [4] ListLogFileLoop(count = 0xffbfdba8), line 177 in "auditlog.c" [5] ListLogFile(), line 235 in "auditlog.c" [6] main(argc = 8, argv = 0xffbff0d4), line 518 in "auditlog.c" 2. オフセットを増加させずに監査ファイルの読み取りを繰り返します。 |
Solaris 10 で監査レコードが破損すると、以下が発生します: 1. コア ダンプ: # seaudit -a -fn /work/tmp_install/21472886/seos.audit.bak.13-Jul-2013-00:00:00 -sd 12-JUL-2013 -st 11:50 2. 無限ループ: # seaudit -tr -fn /work/tmp_install/21472886/seos.audit.bak.13-Jul-2013-00:00:00 -sd 12-JUL-2013 -st 17:02 |
||
| 77 | 2 | UNIX エンドポイント カーネル モード | 2.4 カーネルが動作する X64 Linux システムでエージェントが SEOS_syscall のロードに失敗する ControlMinder の問題を修正しました。 | AC126SP30036 | LINUX x64 | X64 RHEL 3.8 上に AC をインストールします(再現環境の一例として)。 SEOS_load を実行すると失敗します。 |
|||
| 78 | 2 | UNIX エンドポイント ユーザ モード | ブランド ゾーンで実行されている 64 ビット Solaris 8 または 9 上で、install_base およびポストインストール スクリプトにより、SEOS_syscall に対する無効なリンクが作成される ControlMinder の問題を修正しました。 | AC126SP30037 | Solaris Sparc、Solaris x86 | Solaris 8 および 9 用の SEOS_syscall リンクの作成時に OSMIC が使用されました。 | この問題は、ブランド ゾーン内の 64 ビット Solaris 8 または 9 に AC をインストールする場合にのみ発生します。 | Solaris 8 または 9 用に追加のチェック手順を加えます。 | ゾーンをサポートする 64 ビット Solaris システムで以下の手順を実行します。 1. グローバル ゾーンにネイティブ インストールを実行します。 2. SEOS_syscall をアンロードします。 3. SEOS_use_ioctl を 1 に設定します。 4. SEOS_syscall を再ロードします。 5. ブランド ゾーンに移動します。 6. install_base を使用して、ネイティブ インストールまたはレガシー インストールのいずれかを実行します。 SEOS_syscall を SEOS_syscall.28Z.64 または SEOS_syscall.29Z.64 のいずれかにリンクしようとするときにインストールが失敗します。 |
| 79 | 1 | UNIX エンドポイント ユーザ モード | KBLAuditMgr が kbl 監査のリネームに失敗する ControlMinder の問題を修正しました。 | AC126SP30021 | Unix all | ||||
| 80 | 3 | UNIX エンドポイント ユーザ モード | vsftpd が実行されているエンドポイント上で、リモート ftp ログインにより、アクセサ ホストのホスト名/IP の代わりにコンソールを含む監査レコードが生成される ControlMinder の問題を修正しました。 | AC126SP30022 | Unix all | Invest. notes を参照してください。 | 1. vsftpd が実行されていることを確認します: ps -ef | grep vsftpd 2. CM エンドポイントに FTP 接続します。 3. 生成された LOGIN 監査レコードを確認します: 07 Jul 2013 19:56:49 P LOGIN root 59 2 console VFTP 予期される結果: 07 Jul 2013 20:09:43 P LOGIN root 59 2 130.yyy.xxx.77 VFTP 07 Jul 2013 20:10:29 P LOGIN root 59 2 ismelxxx.ca.com VFTP |
||
| 81 | 1 | UNIX エンドポイント カーネル モード | SEOS_syscall カーネル モジュールをアンロードするときにシステムがクラッシュする ControlMinder の問題を修正しました。 | AC126SP30011 | LINUX all | Invest. notes を参照してください。 | クリーンアップ関数がどのようにして複数回コールされるかは不明です。 | SEOS_procserver_fini() 内にモジュールがすでに解放済みであるかどうかを確認するチェック機構を追加します。該当する場合は、何も処理を行いません。 | |
| 82 | 2 | UNIX エンドポイント カーネル モード | Unbreakable Enterprise Kernel 2.6.39-200.24.1 で実行されている Oracle Enterprise Linux 6.3 上で chdir システム コールを呼び出したときにシステム パニックが発生する ControlMinder の問題を修正しました。 | AC126SP30012 | LINUX all | Invest. notes および問題のサマリを参照してください。 | この問題は、Linux カーネル 2.6.39 以降で、chroot コマンドの新しいルートがマウント ポイントであるときに発生します。 | vfsmount struct アクセス用の正しいロックを識別します。 | UEK システムが含まれる OEL 6.3、または 2.6.39 以降のLinux カーネルで以下の手順を実行します。 1. AC を起動します。 2. マウント ポイントを見つけます。 3. "chroot mounting_point" を実行します。 システム パニックが発生します。 |
| 83 | 2 | UNIX エンドポイント カーネル モード | カスタマがシェル スクリプトを実行すると exec ハンドルで 20 秒のギャップが発生する ControlMinder の問題を修正しました。 | AC126SP30013 | LINUX all | システム コールが PF_INET6 でも PF_INET でもないピア アドレスを取得します。 | |||
| 84 | 3 | Windows エンドポイント ユーザ モード | パスに日本語の文字が含まれているプログラムの SPECIALPGM を定義するとエラー メッセージが表示される ControlMinder の問題を修正しました。 | AC126SP30014 | Windows all |