Support Content Notification - Support Portal

CA ControlMinder r12.6-SP2 FIXLIST - Japanese

Product/Component

Notification Id

3928

Last Updated

24 May 2019

Initial Publication Date

24 May 2019

No.

Severity

Module

Problem summary

事象内容

Package

Cause of the problem

根本原因

Conditions

発生条件

Solution or workaround

解決策または回避策

Reproduction steps

再現手順

Problem ID

TestFix / PublishFix

日本語訳

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where getvar.sh incorrectly identifies SEOS_syscall.530b as the kernel extension. However, kernel fails to load on AIX 5.3 with TL 12.

getvar.sh が SEOS_syscall.530b をカーネル拡張として間違って識別する問題を修正しました。ただし、AIX 5.3 TL 12 ではカーネルのロードに失敗します。

AC126SP20016

AIX

getvar.sh incorrectly identifies SEOS_syscall.530b as the kernel extension to use for AIX 5.3 TL 12 and above. However the new syscall was not introduced until TL 12 SP3, which caused a load failure for TL 12 below SP 3.

getvar.sh は SEOS_syscall.530b を AIX 5.3 TL 12 以降で使用するカーネル拡張として間違って認識します。しかし、この新しいシステムコールは TL 12 SP3 まで導入されなかったため、TL 12 SP 3 より前のバージョンでロードエラーが発生しました。

Problem occurs on AIX 5.3 with TL 12 below SP 3.

SP 3 より前の AIX 5.3 TL 12 で問題が発生します。

Upgrade to AIX 5.3 TL 12 SP3 or above.

AIX 5.3 TL 12 SP3 以降にアップグレードします。

On AIX 5.3 with TL 12 below SP 3, loading SEOS_syscall will fail with following error: Executing un/load exit file/usr/seos/exits/LOAD/SEOS_load_int.always. sysconfig[SYS_SINGLELOAD]:path(/usr/seos/bin/)module(/usr/seos/bin/SEOS_syscall ) err(8) : Exec format error

SP 3 より前の AIX 5.3 TL 12 で SEOS_syscall をロードすると、以下のエラーにより失敗します: Executing un/load exit file/usr/seos/exits/LOAD/SEOS_load_int.always. sysconfig[SYS_SINGLELOAD]:path(/usr/seos/bin/)module(/usr/seos/bin/SEOS_syscall ) err(8) : Exec format error

1711

RO46021

Windows Endpoint User Mode

Fixes an issue where creating or updating groups with groupid property in the pmd native environment returns the error "Property not found".

pmd ネイティブ環境で groupid プロパティを使用してグループを作成または更新するときに "プロパティが見つかりません" というエラーが返される問題を修正しました。

AC126SP20035

Windows all

The groupid property is incorrectly defined in the database during creation.

作成時に、データベースで groupid プロパティが正しく定義されていません。

Specify the groupid property for group during creation or while updating in the pmd native environment.

pmd ネイティブ環境で作成または更新するときにグループの groupid を指定します。

1. parent_pmd of unix endpoint is windows pmd
2. create pmd on widnws endpoint and subscribe unix endpoint
3. host pmd@ in selang on windows
4. eg testgrp audit(a) native(groupid(100))
expected result:
1. "ERROR: Property not found" does not appar
2. sg in pmd@ netive env shows ID property

1. Unix エンドポイントの parent_pmd は Windows pmd です。
2. Windows エンドポイントで pmd を作成し、Unix エンドポイントをサブスクライブします。
3. Windows 上の selang で host pmd@ を実行します。
4. eg testgrp audit(a) native(groupid(100))

正しい結果：
1. "エラー: プロパティが見つかりません" が表示されません。
2. pmd@ ネイティブ環境で sg を実行すると ID プロパティが表示されます。

562

T4CC164

Windows Endpoint User Mode

Fixes an issue with ControlMinder where removing a native user with appl property returns the error "Property not found".

appl プロパティを使用してネイティブユーザを削除すると "プロパティが見つかりません" というエラーが返される問題を修正しました。

AC126SP20036

Windows all

The appl property is not defined in the database during creation.

作成時に、データベースで appl プロパティが定義されていません。

Specify the appl property for user delition in the pmd native environment.

pmd ネイティブ環境でのユーザの削除で appl プロパティを指定します。

1. parent_pmd of unix endpoint is windows pmd
2. create pmd on widnws endpoint and subscribe unix endpoint
3. host pmd@ in selang on windows
4. eu testuser password(testuser)
5. ru testuser native appl(homedir=yes)
expected result: "ERROR: Property not found" does not appar
Plase also test:
6. eu testuser native(gscon("test"))
expected result:
1. "ERROR: Property not found" does not appar
2. sg in pmd@ netive env shows GSCON property

7. eg testgrp native(appl("test"))
expected result: "ERROR: Property not found" does not appar

1. Unix エンドポイントの parent_pmd は Windows pmd です。
2. Windows エンドポイントで pmd を作成し、Unix エンドポイントをサブスクライブします。
3. Windows 上の selang で host pmd@ を実行します。
4. eu testuser password(testuser)
5. ru testuser native appl(homedir=yes)
正しい結果： "エラー: プロパティが見つかりません" が表示されません。
次もテストしてください。
6. eu testuser native(gscon("test"))
正しい結果：
1."エラー: プロパティが見つかりません" が表示されません。
2. pmd@ ネイティブ環境で sg を実行すると GSCON プロパティが表示されます。

7. eg testgrp native(appl("test"))
正しい結果： "エラー: プロパティが見つかりません" が表示されません。

562

T4CC164

UNIX Endpoint User Mode

Fixes an issue where ControlMinder fails to unload on RHEL 5.8 x86.

RHEL 5.8 x86 上で ControlMinder がアンロードに失敗する問題を修正しました。

AC126SP20041

LINUX x86

The messagebus dbus-daemon prevents AC kernel module to unload because of a syscall accept is blocked.

システムコールの受信がブロックされるため、messagebus dbus-daemon が AC カーネルモジュールのアンロードを妨げています。

The fix restarts messagebus when ControlMinder kernel module unloads.

この修正は、ControlMinder カーネルモジュールがアンロードされると messagebus を再起動します。

On RHEL 5.8 x86
1. Start AC
seload
2. Restart messagebus
/etc/init.d/messagebus restart
3. Verify blocing syscall
secons -scl
shows blocking syscall 102 by dbus-daemon
4. Shutdown AC
secons -sk
5. Attempted unload of AC fails
SEOS_load -u

RHEL 5.8 x86 で以下の手順を実行します。
1. AC を開始します。
seload
2. messagebus を再起動します。
/etc/init.d/messagebus restart
3. ブロッキングシステムコールを確認します。
secons -scl
dbus-daemon によるブロッキングシステムコール 102 が表示されます。
4. AC をシャットダウンします。
secons -sk
5. AC のアンロード試行が失敗します。
SEOS_load -u

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where password change fails on Solaris because Pluggable Authentication Module (PAM) handles password change as a LOGIN event.

PAM （Pluggable Authentication Module）がパスワード変更を LOGIN イベントとして処理するために、Solaris 上でパスワード変更に失敗する問題を修正しました。

AC126SP20044

Solaris x86

The problem occurs because ControlMinder PAM handled password change as a LOGIN event.

この問題は、ControlMinder の PAM がパスワード変更を LOGIN イベントとして処理したために発生します。

1752

TC61277 (AIX), TC61278 (HPUX PA-RISC), TC61279 (HPUX IA64), TC61280 (Linux X86), TC61281 (Linux X64), TC61282 (Linux IA64), TC61283 (Solaris Sparc), TC61284 (Solaris X86).

Windows Endpoint User Mode

Fixes an issue with ControlMinder where filtering file access by audit.cfg fails.

audit.cfg によるファイルアクセスのフィルタリングが失敗する問題を修正しました。

AC126SP20060

Windows all

The AuditHandler did not check audit filtering.

AuditHandler が監査フィルタリングを確認していませんでした。

Audit record coming form the driver via AuditHandler

AuditHandler 経由でドライバから送られる監査レコード

[procedure]
1. stop AC
\\> secons -s
2. create test directory and file
\\> mkdir TEMP
\\> mkdir TEMP\\VB_BIN
\\> echo aaa > c:\\TEMP\\VB_BIN\\test.txt
3. create policies
editres FILE ("c:\TEMP\*") audit(ALL) defaccess(READ CHDIR) owner('nobody')
authorize FILE ("c:\TEMP\*") access(READ WRITE DELETE RENAME CREATE EXECUTE CHOWN CHMOD UTIME SEC CHDIR) uid('administrator')
4. start AC
5. access to the directory/file and check audit log
\\> cd temp
\\> cd vb_bin
\\> type test.txt
\\> cd \
\\> seaudit -a -sd today
some file access log to C:\\TEMP\\VB_BIN, C:\\TEMP\\VB_BIN\\ and C:\\TEMP\\VB_BIN\\test.txt appears
-> this is expected
6. add filter in audit.cfg
\\> secons -s
add following filter at the last of audit.cfg:
*;C:\\TEMP\\VB_BIN*;Administrator;*;*;*
TEST CASE 1
7. do step5 again
[expected result] all file access logs are filtered
[actual result] some file access logs for C:\\TEMP\\VB_BIN appears; others such as C:\\TEMP\\VB_BIN\\test.txt are filtered
TEST CASE 2
8. \\> cd temp
9. restat AC
10. \\> cd vb_bin(type vb_bin but tab key)
\\> cd ..
\\> cd [tab key]
\\> cd seaudit -a -sd today
[expected result] all file access logs are filtered except C:\\TEMP\*
[actual result] all file access logs are filtered

手順：
1. AC を停止します。
\\> secons -s
2. テストディレクトリおよびファイルを作成します。
\\> mkdir TEMP
\\> mkdir TEMP\\VB_BIN
\\> echo aaa > c:\\TEMP\\VB_BIN\\test.txt
3. ポリシーを作成します。
editres FILE ("c:\TEMP\*") audit(ALL) defaccess(READ CHDIR) owner('nobody')
authorize FILE ("c:\TEMP\*") access(READ WRITE DELETE RENAME CREATE EXECUTE CHOWN CHMOD UTIME SEC CHDIR) uid('administrator')
4. AC を開始します。
5. ディレクトリ/ファイルにアクセスし、監査ログを確認します。
\\> cd temp
\\> cd vb_bin
\\> type test.txt
\\> cd \
\\> seaudit -a -sd today
C:\\TEMP\\VB_BIN、C:\\TEMP\\VB_BIN\\、および C:\\TEMP\\VB_BIN\\test.txt へのファイルアクセスログが表示されます。
-> これは正しい動作です。
6. audit.cfg にフィルタを追加します。
\\> secons -s
audit.cfg の末尾に次のフィルタを追加します:
*;C:\\TEMP\\VB_BIN*;Administrator;*;*;*
テストケース 1
7. 手順 5 を繰り返します。
正しい結果：すべてのファイルアクセスログがフィルタされます。
実際の結果： C:\\TEMP\\VB_BIN の一部のファイルアクセスログが表示されます。他の C:\\TEMP\\VB_BIN\\test.txt などはフィルタされます。
テストケース 2
8. \\> cd temp
9. AC を再起動します。
10. \\> cd vb_bin(type vb_bin but tab key)
\\> cd ..
\\> cd [tab key]
\\> cd seaudit -a -sd today
正しい結果： C:\\TEMP\* を除くすべてのファイルアクセスログがフィルタされます。
実際の結果：すべてのファイルアクセスログがフィルタされます。

1686

T4CC165, T4CC166

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the result of sepmd -t PMDB <offfset> is incorrect.

sepmd -t PMDB <オフセット> の結果が正しくない問題を修正しました。

AC126SP20065

Windows all

Offset sepmd -t is handled by hex incorrently.

sepmd -t のオフセットが誤って 16進で処理されています。

Any value specified to offsed is handle by hex.

オフセットに指定された値はすべて 16 進で処理されます。

1. create pmd PMDB
2. input some rules into PMDB
a. eg administrators native
b. eg inf audit(logins loginf trace) native
c. eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native
d. eu test1023
3. check PMDB command file
> sepmd -C PMDB
Offset Command
======== =========
1) 0 eg administrators native
2) 608 (native domain) eg administrators native
3) 1216 eg inf audit(logins loginf trace) native
4) 2848 (native domain) eg inf audit(logins loginf trace)native
5) 3460 eu test1023 audit(logins loginf f trace)
owner(nobody) pwasown(********) grace- profile(inf) native
6) 8212 (native domain) eu test1023 audit(logins loginf f
trace) owner(nobody) pwasown(********) grace- profile(inf) native
7) 9576 eu test1023

4. truncate until offset 1215 ( expect to truncate command 1) and 2) )
> sepmd -t PMDB 1215
Truncating PMDB at 4629
5. check PMDB COMMAND file
> sepmd -C PMDB
Offset Command
======== =========
1) 8212 (native domain) eu test1023 audit(logins loginf f
trace) owner(nobody) pwasown(********) grace- profile(inf) native
2) 9576 eu test1023
commands from 1) to 5) are truncated unexpectedly.
Also, the number value in truncate message is not correct

1. pmd PMDB を作成します。
2. いくつかのルールを PMDB に入力します。
a. eg administrators native
b. eg inf audit(logins loginf trace) native
c. eu test1023 audit(logins loginf f trace) owner(nobody) pwasown(********) grace- profile(inf) native
d. eu test1023
3. PMDB コマンドファイルを確認します。
> sepmd -C PMDB
Offset Command
======== =========
1) 0 eg administrators native
2) 608 (native domain) eg administrators native
3) 1216 eg inf audit(logins loginf trace) native
4) 2848 (native domain) eg inf audit(logins loginf trace)native
5) 3460 eu test1023 audit(logins loginf f trace)
owner(nobody) pwasown(********) grace- profile(inf) native
6) 8212 (native domain) eu test1023 audit(logins loginf f
trace) owner(nobody) pwasown(********) grace- profile(inf) native
7) 9576 eu test1023

4. オフセット 1215 まで切り捨てます（コマンド 1) と 2) を切り捨てることになります）。
> sepmd -t PMDB 1215
Truncating PMDB at 4629
5. PMDB COMMAND ファイルを確認します。
> sepmd -C PMDB
Offset Command
======== =========
1) 8212 (native domain) eu test1023 audit(logins loginf f
trace) owner(nobody) pwasown(********) grace- profile(inf) native
2) 9576 eu test1023

予想に反し、1) から 5) までのコマンドが切り捨てられます。
また、切り捨てのメッセージ内の数値が正しくありません。

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where the root directory path is incorrect in the audit record during the chroot system call.

chroot システムコール中の監査レコード内のルートディレクトリパスが正しくない問題を修正しました。

AC126SP20071

LINUX all

The problem occurs because the audit record does not add a slash when the parent is IS_ROOT.

この問題は、親が IS_ROOT であるときに監査レコードがスラッシュを追加しないために発生します。

Access chrooted file/directory

chroot が実行されたファイル/ディレクトリへのアクセス

1. place proftpd-1.3.4a.tar.gz on /usr/local/src
2. tar zxvf proftpd-1.3.4a.tar.gz
3. cd proftpd-1.3.4a
4. ./configure --with-modules=mod_ifsession
5. make
6. make install
7. uncomment DefaultRoot in proftpd.conf
8. run proftpd

I noticed that the /ftpdata was a separate file system according to hostsysinfo.txt in the support.tar.gz file.
/dev/sda2 52427772 184372 49537252 1% /ftpdata
For setting up a similar environment on LOD, I made a new filesystem in the following way.

1. Create a file to be used for a new filesystem
# dd if=/dev/zero of=/root/ftpdata bs=1024 count=10240
2. Create a filesystem in the file
# mkfs /root/ftpdata
3. Create a mount point
# mkdir /ftpdata
4. mount the created filesystem to /ftpdata
# mount -o loop /root/ftpdata /ftpdata

For reproducing the problem, we need to create a user and the user's home directory in /ftpdata.
# useradd kiban -d /ftpdata/SG001
# chmod 777 /ftpdata/SG001
The following AC rules need to be defined.
ef /ftpdata/SG001 defacc(a) audit(a) owner(nobody)
ef /ftpdata/SG001/* defacc(a) audit(a) owner(nobody)
When you login to the proftpd server as user 'kiban', '/' between directory names disappears in the seos.audit log.
This problem deos not happen when /ftpdata is a simple directory in the root filesystem.

1. proftpd-1.3.4a.tar.gz を /usr/local/src に配置します。
2. tar zxvf proftpd-1.3.4a.tar.gz
3. cd proftpd-1.3.4a
4. ./configure --with-modules=mod_ifsession
5. make
6. make install
7. proftpd.conf 内の DefaultRoot のコメントを解除します。
8. proftpd を実行します。

support.tar.gz ファイル内の hostsysinfo.txt によれば、/ftpdata は別のファイルシステムです。
/dev/sda2 52427772 184372 49537252 1% /ftpdata
LOD 上で同様の環境をセットアップするために、以下の方法で新しいファイルシステムを作成しました。

1. 新規ファイルシステムで使用するファイルを作成します。
# dd if=/dev/zero of=/root/ftpdata bs=1024 count=10240
2. ファイル内にファイルシステムを作成します
# mkfs /root/ftpdata
3. マウントポイントを作成します。
# mkdir /ftpdata
4. 作成したファイルシステムを /ftpdata にマウントします。
# mount -o loop /root/ftpdata /ftpdata

問題を再現するには、ユーザを作成してそのホームディレクトリを /ftpdata 内に作成する必要があります。
# useradd kiban -d /ftpdata/SG001
# chmod 777 /ftpdata/SG001
以下の AC ルールを定義する必要があります。
ef /ftpdata/SG001 defacc(a) audit(a) owner(nobody)
ef /ftpdata/SG001/* defacc(a) audit(a) owner(nobody)
proftpd サーバにユーザ 'kiban' としてログインすると、seos.audit log 内でディレクトリ名の間にある '/' が失われます。
/ftpdata がルートファイルシステム内の単なるディレクトリである場合は、この問題は発生しません。

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where a denial occurs for COMMON and PACL properties even when they are trusted script by the DB.

COMMON および PACL プロパティが DB によって信頼されたスクリプトである場合でも、それらのプロパティの拒否が発生する問題を修正しました。

AC126SP20079

UNIX all

The kernel module didn't find the program in the table by program path. Function "eAC_TrustPg_get_best()" searches the program by full path but checks the return value incorrectly. As a result, the executed script was not marked as "trusted script" and ControlMinder didn't apply the viapgm rule.

カーネルモジュールはプログラムパスによってテーブル内にプログラムを見つけることができませんでした。関数 "eAC_TrustPg_get_best()" は完全パスでプログラムを検索しますが、戻り値が正しく確認されません。その結果、実行されたスクリプトは "trusted スクリプト" としてマークされず、ControlMinder は viapgm ルールを適用できません。

Program "vi" changes program i-node when file is saved.

プログラム "vi" はファイルを保存するときにプログラムの i-node を変更します。

Kernel module function "eAC_TrustPg_get_best" changed Previous code : --------------- if (path[0] == '/' && eAC_h_tbl_get() == 0 ) return OK; ---------------( condition lack braces after &&) New code: if (path[0] == '/') { if (eAC_h_tbl_get() == 0 ) return OK; }

カーネルモジュール関数 "eAC_TrustPg_get_best" が変更されました。
以前のコード：
---------------
if (path[0] == '/' && eAC_h_tbl_get() == 0 )
return OK;
---------------( condition lack braces after &&)
新しいコード：
if (path[0] == '/')
{
if (eAC_h_tbl_get() == 0 )
return OK;
}

Prepare:
# echo TEST > /tmp/test.txt
# mkdir /home/work
# vi /home/work/test.sh
#!/bin/bash
cat /tmp/test.txt
Rule:
AC> ef /tmp/test.txt owner(nobody) audit(all) defacc(N)
AC> auth file /tmp/test.txt uid(*) acc(ALL) via(pgm(/home/work/test.sh))
AC> cr PROGRAM /home/work/test.sh flags(none)
Recreate steps:
1. run test.sh
# /home/work/test.sh => ALLOWED
2. edit test.sh and insert comment line
# vi /home/wor/test.sh
insert line like ###### at bottom
3. run test.sh again
# /home/work/test.sh
=> EXPECTED result is PERMIT and /home/work/test.sh is trusted program
=> ACTUAL is DENY

準備：
# echo TEST > /tmp/test.txt
# mkdir /home/work
# vi /home/work/test.sh
#!/bin/bash
cat /tmp/test.txt
ルール：
AC> ef /tmp/test.txt owner(nobody) audit(all) defacc(N)
AC> auth file /tmp/test.txt uid(*) acc(ALL) via(pgm(/home/work/test.sh))
AC> cr PROGRAM /home/work/test.sh flags(none)

再現手順：
1. test.sh を実行します。
# /home/work/test.sh => ALLOWED
2. test.sh を編集してコメント行を挿入します。
# vi /home/wor/test.sh
「######」のような行を末尾に挿入します。
3. test.sh を再実行します。
# /home/work/test.sh
=> 正しい結果は PERMIT で /home/work/test.sh は trusted プログラムです
=> 実際の結果は DENY です

T3DB126, T3DB127

Windows Endpoint User Mode

Fixes an issue with ControlMinder where a wrong 'sewhoami' occurs after logging in through the GDM console.

GDM コンソールを通じてログインした後に 'sewhoami' が間違った結果を出力する問題を修正しました。

AC126SP20080

LINUX all

The login program gdm-binary never terminates. ControlMinder does not record end of session and logout, the gdm-binary assigns ACEE. The new session does not assign a new ACEE and uses the old one.

ログインプログラム gdm-binary が終了しません。ControlMinder はセッションの終了とログアウトを記録せず、gdm-binary は ACEE を割り当てます。新しいセッションは新しい ACEE を割り当てずに古い ACEE を使用します。

RH5 GDM console login

RH5 GDM コンソールログイン

New solution is following: the EXT handler will check if exiting program is "gnome-session". If it is true, then check if this "gnome-sesion" is last process woth such program name. If it is true we assume GDM logout and kernel cleans all associated ACEEs

新しい解決策は以下のとおりです。
EXT ハンドラは既存のプログラムが "gnome-session" であるかどうかを確認します。
これが true の場合、この "gnome-sesion" がそのプログラム名を持つ最後のプロセスであるかどうかを確認します。
これが true の場合、GDM ログアウトを想定して、カーネルは関連するすべての ACEE を消去します。

T3DB131

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where Solaris 10 zone reboot fails due to failed umount when ControlMinder is running in global and internal zones.

ControlMinder がグローバルおよび内部ゾーンで実行中に umount の失敗により Solaris 10 ゾーンの再起動が失敗する問題を修正しました。

AC126SP20081

Solaris Sparc

ControlMinder kernel module file name resolving hold and dint release v-node of mounted FS.

ControlMinder カーネルモジュールファイル名の解決が保持され、マウントされたファイルシステムの v-ノードを解放しません。

NFS mounts in internal zones

内部ゾーンでの NFS マウント

Release v-node when going next loop

次のループに移動するときに v-ノードを解放します

1. Default AC installation
2. Installed Solaris NAS (NFS mounts in internal zones)
3. Start AC in global and both internal zones
4. in global zone try to reboot internal zones
Expect: zone successfully reboots
Actual: umount fails for internal zone

1. デフォルトで AC をインストールします。
2. Solaris NAS をインストールします（内部ゾーンに NFS をマウント）。
3. グローバルゾーンと内部ゾーンの両方で AC を開始します。
4. グローバルゾーンで、内部ゾーンの再起動を試行します。
正しい結果：ゾーンが正常に再起動されます
実際の結果：内部ゾーンで umount が失敗します

T3DB122

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where ControlMinder causes Kernel panic on HP-UX 11.11 or earlier versions when calling the delay() kernel function. The delay() function is not introduced to HP-UX until version 11.23.

delay() カーネル関数を呼び出すときに ControlMinder が HP-UX 11.11 またはそれ以前のバージョンでカーネルパニックを引き起こす問題を修正しました。delay() 関数は HP-UX バージョン 11.23 まで導入されていません。

AC126SP20084

HPUX PA-RISC

The delay() kernel function called by ac_w_lock_slot() is not available in HP-UX 11.11 or earlier versions. Instead, the delay() function with different calling arguments was called from another kernel module. This led to system panic.

ac_w_lock_slot() によって呼び出される delay() カーネル関数は、HP-UX 11.11 またはそれ以前のバージョンでは利用できません。代わりに、呼び出し引数が異なる delay() 関数が別のカーネルモジュールから呼び出されます。これによってシステムパニックが発生します。

This only occurs on HP-UX 11.11. This may occur when there are multiple threads attempt to acquire read or write lock on the AC kernel table.

HP-UX 11.11 でのみ発生します。複数のスレッドが、AC カーネルテーブル上で読み取りまたは書き込みロックを取得しようと試行することで、この問題が発生する可能性があります。

T3E7147

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where SEOS_put_look() failed to check if the message was a TCP STREAMS file.

メッセージが TCP STREAMS ファイルであるかどうかを SEOS_put_look() が確認するのに失敗する問題を修正しました。

AC126SP20085

Solaris Sparc, Solaris x86

When SEOS_put_hook() was invoked to handle a message, it automatically assumes it as a TCP message. But the message was an X.25 packet, it misidentified it and misinterpreted the contents. This caused the bcopy call to access an invalid memory address and led to panic.

SEOS_put_hook() が呼び出されてメッセージを処理するときは、自動的に TCP メッセージであると想定されます。しかし、メッセージが X.25 パケットである場合は誤認識となり、コンテンツは誤って解釈されます。これにより、bcopy コールが無効なメモリアドレスにアクセスしてカーネルパニックが発生します。

This occurs on system running X.25 based application.

この問題は、X.25 ベースのアプリケーションを実行中のシステムで発生します。

The workaround is to use the STREAMS mode as the interception type.

回避策：インターセプトタイプとして STREAMS モードを使用します。

1746

T3E7148

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where the system panicked in eAC_MM_file_ok.

eAC_MM_file_ok でシステムパニックが発生する問題を修正しました。

AC126SP20088

UNIX all

The problem occurs because unexpected arguments were passed to eAC_MM_file_ok().

この問題は、eAC_MM_file_ok() に予期しない引数が渡されることで発生します。

This occurs when an intercepted execve event fails and AC is down.

インターセプトされた execve イベントが失敗して AC がダウンすると、この問題が発生します。

When AC is down, there is no need to check Maintenance Mode.

AC がダウンしている場合、メンテナンスモードを確認する必要はありません。

T3E7149 (HP-UX PA-RISC)

T3E7150 (HPUX IA64)

Windows Endpoint User Mode

Fixes an issue with ControlMinder where seosd fails to start due to wrong filter in audit.cfg.

audit.cfg 内の間違ったフィルタによって seosd が起動に失敗する問題を修正しました。

AC126SP20090

Windows all

Allocated AuditMembersArray is not initialized with NUL, so its members point to an invalid address, invoked later in strncmp as a parameter.

割り当て済みの AuditMembersArray は NUL として初期化されていません。したがって、そのメンバは、後で strncmp のパラメータとして呼び出された無効なアドレスをポイントします。

Add initilization of allocated AuditMembersArray, checking filter tokens and return ERROR_PARSING_CFG_LINE for reporting to Application Log about wrong filter.

割り当て済みの AuditMembersArray の初期化を追加して、フィルタトークンを確認し、間違ったフィルタに関するアプリケーションログへのレポートに ERROR_PARSING_CFG_LINE を返します。

Set filter FILE;*;NT AUTHORITY\SYSTEM;*;*; with missing last token and start AC. It exits with error "Abnormal termination Service Thread" in Application Log.

最後のトークンを指定せずにフィルタ FILE;*;NT AUTHORITY\SYSTEM;*;*; を設定して、AC を開始します。AC はアプリケーションログにエラー "Abnormal termination Service Thread" を出力して終了します。

T5P7199

Windows Endpoint User Mode

Fixes an issue with ControlMinder where you cannot delete a policy because the hnode is deleted.

hnode が削除されているためにユーザがポリシーを削除できない問題を修正しました。

AC126SP20095

Windows all

The problem occurs because the hnode is deleted, the poilcy that is assigned to hnode cannot able to be deleted.

この問題は、hnode が削除されると hnode に割り当てられているポリシーを削除できないために発生します。

A policy is assigned to one hnode. this hnode is deleted. Now, we cannot delete the policy.

ある hnode にポリシーを割り当ててから、この hnode を削除すると、ポリシーを削除できなくなります。

1. policydeploy -store TestPolicy -ds c:\\ds.txt -uds c:\\uds.txt -dms DMS__@
2. policydeploy -assign TestPolicy -hnode node_name -dms DMS__@
3. selang, AC>host DMS__@, AC>rr HNODE node_name
Now, you'll have a problem to delete the policy TestPolicy.
4. policydeploy -delete TestPolicy#01 -dms DMS__@
Error: ERROR: Cannot delete policy version TestPolicy#01 as it is effective on some HNODEs

1. policydeploy -store TestPolicy -ds c:\\ds.txt -uds c:\\uds.txt -dms DMS__@
2. policydeploy -assign TestPolicy -hnode node_name -dms DMS__@
3. selang で、AC>host DMS__@, AC>rr HNODE node_name
これで、ポリシー TestPolicy を削除するときに問題が発生します。
4. policydeploy -delete TestPolicy#01 -dms DMS__@
エラー: 一部の HNODE で有効なため、ポリシーバージョン TestPolicy#01 を削除できません。

T243977, T243978

Windows Endpoint User Mode

Fixes the following issues with ControlMinder:

以下の問題を修正しました：
アプリケーション終了時のアプリケーションエラー。
DB プラグインでのアプリケーションクラッシュ。

AC126SP20096

Windows all

Found and fixed several bugs related to instrumentation unload code.

インストルメンテーションのアンロードコードに関する複数のバグが見つかり、修正されました。

See reproduction steps

再現手順を参照してください。

Found and fixed several bugs related to instrumentation unload code.

インストルメンテーションのアンロードコードに関する複数のバグが見つかり、修正されました。

T5P7201

Application ERROR on application exit.

Application crash on DB plugins.

Windows Endpoint User Mode

Fixes an issue with ControlMinder related to instrumentation unload code.

インストルメンテーションのアンロードコードに関連する問題を修正しました。

AC126SP20103

Windows all

The problem occurs because stability issues related to race condition on unload were identified in ControlMinder instrumentation code.

この問題は、ControlMinder のインストルメンテーションコードに、アンロード時の競合状態に関連する安定性の問題が見つかったために発生します。

569

T5P7201

UNIX Endpoint User Mode

Fixes issues with ControlMinder installation and uninstallation on AIX WPARs.

AIX WPAR 上での ControlMinder のインストールとアンインストールに関する問題を修正しました。

AC126SP20105

AIX

ControlMinder installs installation for native package to /CA/AccessControl. But uninstall does not remove AccessControlShared directory. Additionally, AccessControl and AccessControlShared are not get removed from WPAR.

ControlMinder はネイティブパッケージを /CA/AccessControl にインストールします。しかし、アンインストール時に AccessControlShared ディレクトリは削除されません。さらに AccessControl および AccessControlShared は WPAR から削除されません。

Install AC installation for native package to /CA/AccessControl
AC installs, but uninstall does not remove AccessControlShared directory
Also AccessControl and AccessControlShared do not get removed from WPAR

#customize pkg and install in Global host
customize_eac_bff -Ri /CA/AccessControl -d `pwd` -w proceed CAeAC.12.6.1.1431.bff
installp -d `pwd` -a CAeAC

#install in WPAR
syncwpar <wpar_name>

#uninstall from Global
installp -u CAeAC
Note: /CA/AccessControlShared directory remains

#uninstall from WPAR
syncwpar <wpar_name>
Note: in WPAR directories /CA/AccessControl* still exist

AC のネイティブパッケージを /CA/AccessControl にインストールします。
AC は正常にインストールされますが、アンインストール時に AccessControlShared ディレクトリが削除されません。
また、AccessControl および AccessControlShared が WPAR から削除されません。

#パッケージをカスタマイズして、グローバルホストにインストール
customize_eac_bff -Ri /CA/AccessControl -d `pwd` -w proceed CAeAC.12.6.1.1431.bff
installp -d `pwd` -a CAeAC

#WPAR にインストール
syncwpar <wpar_name>

#グローバルからアンインストール
installp -u CAeAC
注： /CA/AccessControlShared ディレクトリが削除されません。

#WPAR からアンインストール
syncwpar <wpar_name>
注： WPAR でディレクトリ /CA/AccessControl* が削除されません。

1686

T540174

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where ControlMinder does not start in more than one WPAR on AIX.

AIX 上の複数の WPAR で ControlMinder が起動しない問題を修正しました。

AC126SP20109

AIX

The problem occurs as ControlMinder cannot determine coral id from virtual pids.

この問題は、ControlMinder が仮想 pid から coral id を特定することができないために発生します。

Multiple running WPARs

WPAR の複数実行

AC will start in multiple WPARs

AC は複数の WPAR で開始するようになります。

Install AC on multiple AIX WPARs.
Start AC in Global.
Start AC in WPAR
AC will not start in a second WPAR

複数の AIX WPAR に AC をインストールします。
グローバル環境で AC を開始します。
WPAR で AC を開始します。
2 番目の WPAR で AC が開始しません。

1686

T540174

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where an error is observed in AccessControl_install.log while upgrading.

アップグレード中に AccessControl_install.log でエラーが見つかる問題を修正しました。

AC126SP20117

UNIX all

ControlMinder tries to access an incorrect directory. The correct directory is /opt/CA/AccessControl/data/japanese_euc_jis-0208/etc/eACLicenseAgreementUNIX_japanese_euc_jis-0208.txt

ControlMinder は正しくないディレクトリへのアクセスを試行しました。正しいディレクトリは以下のとおりです： /opt/CA/AccessControl/data/japanese_euc_jis-0208/etc/eACLicenseAgreementUNIX_japanese_euc_jis-0208.txt

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where uninstall does not remove the AccessControlShared directory.

アンインストールによって AccessControlShared ディレクトリが削除されない問題を修正しました。

AC126SP20118

AIX

The problem occurs with the packaging scripts.

この問題はパッケージングスクリプトで発生します。

Install AC installation for native package to /CA/AccessControl
AC installs, but uninstall does not remove AccessControlShared directory

#customize pkg and install in Global host
customize_eac_bff -Ri /CA/AccessControl -d `pwd` -w proceed CAeAC.12.6.1.1431.bff
installp -d `pwd` -a CAeAC

#install in WPAR
syncwpar <wpar_name>

#uninstall from Global
installp -u CAeAC
Note: /CA/AccessControlShared directory remains

#uninstall from WPAR
syncwpar <wpar_name>
Note: in WPAR directories /CA/AccessControl* still exist

AC のネイティブパッケージを /CA/AccessControl にインストールします。
AC は正常にインストールされますが、アンインストール時に AccessControlShared ディレクトリが削除されません。

#パッケージをカスタマイズして、グローバルホストにインストール
customize_eac_bff -Ri /CA/AccessControl -d `pwd` -w proceed CAeAC.12.6.1.1431.bff
installp -d `pwd` -a CAeAC

#WPAR にインストール
syncwpar <wpar_name>

#グローバルからアンインストール
installp -u CAeAC
注： /CA/AccessControlShared ディレクトリが削除されません。

#WPAR からアンインストール
syncwpar <wpar_name>
注： WPAR でディレクトリ /CA/AccessControl* が削除されません。

1686

T540174

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where sepmdpull consumes huge memory during ControlMinder start up.

ControlMinder の起動時に sepmdpull が大量のメモリを消費する問題を修正しました。

AC126SP20119

UNIX all

Difference in encrypt/decrypt keys makes objp->n_errs corrupt which causes to allocate huge memory.

暗号化/復号化キーが異なるために objp->n_errs が破損し、大量のメモリ割り当てが発生します。

Different encrypt/decrypt keys defined between parent pmd machine and subscriber machine

親の pmd マシンとサブスクライバマシンで、異なる暗号化/復号化キーが定義されています。

1. Install AC with default encrypt key on machine A
2. Install AC with different encrypt key on machine B
3. Set token panrent_pmd to machine A
Example:pmd1@machine B
4. Start AC on both machine
5. Run sepmdpull -a
6. verify sepmdpull will not allocate huge memory

1. マシン A にデフォルトの暗号化キーを使用して AC をインストールします。
2. マシン B に異なる暗号化キーを使用して AC をインストールします。
3. トークンの panrent_pmd をマシン A に設定します。
例： pmd1@machine B
4. 両方のマシンで AC を開始します。
5. sepmdpull -a を実行します。
6. sepmdpull に大量のメモリが割り当てられていないことを確認します。

T4CC190

UNIX Endpoint User Mode

Fixes an issue where ControlMinder cannot install successfully on AIX.

ControlMinder を AIX 上に正常にインストールできない問題を修正しました。

AC126SP20121

AIX

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where computer prompts to reboot after installing and synching ControlMinder in AIX 7.1 global environment.

AIX 7.1 グローバル環境で ControlMinder をインストールして同期した後にコンピュータが再起動を要求する問題を修正しました。

AC126SP20123

AIX

The problem occurs as the Reboot Message 332 is coming from postinstall script. Needs a change to the script similar to solaris for non-global zone.

この問題は、ポストインストールスクリプトから再起動メッセージ 332 が送信されるために発生します。非グローバルゾーンの Solaris と同様のスクリプト変更が必要です。

Install AC in AIX WPAR using syncwpar
syncwpar –gives incorrect warning message that need to reboot “If this is the first time you installed CA Access Control or upgraded CA Access Control, you must REBOOT the machine.”

syncwpar を使用して AIX WPAR に AC をインストールします。
再起動が必要であるという、以下の間違った警告メッセージが表示されます： “If this is the first time you installed CA Access Control or upgraded CA Access Control, you must REBOOT the machine.”

Windows Endpoint User Mode

Fixes the following issues with ControlMinder:

以下の問題を修正しました：
アプリケーション終了時のアプリケーションエラー。
DB プラグインでのアプリケーションクラッシュ。

AC126SP20125

Windows all

MtM unsafe for plug-ins unload.

プラグインのアンロードに関して、MtM は安全ではありません。

MtM unsafe for plug-ins unload

プラグインのアンロードに関して、MtM は安全ではありません。

Removed MtM

MtM の削除

569

T5P7201

Application ERROR on application exit.

Application crash on DB plugins.

Windows Endpoint Kernel Mode

Fixes a design limitation, where a user can circumvent ControlMinder protection by copying a device. A privileged user (not a ControlMinder Administrator), can create a copy of the device using "mknod" system call. ControlMinder cannot prevent access to the device through direct system call.

ユーザがデバイスをコピーすることによって ControlMinder の保護を回避できる設計上の制限を修正しました。特権ユーザ (ControlMinder 管理者ではなく) は "mknod" システムコールを使用してデバイスのコピーを作成できます。ControlMinder は直接のシステムコールを通じたデバイスへのアクセスを阻止することはできません。

AC126SP20130

UNIX all

ControlMinder does not check target device in syscall "mknod".

ControlMinder はシステムコール "mknod" のターゲットデバイスをチェックしません。

Privileged user calls "mknod"

特権ユーザによる "mknod" の呼び出し

New AC table keeps protected devices. The AC kernel will authorize target device in "mknod" system call

新しい AC テーブルには保護されているデバイスが保存されます。AC カーネルは "mknod" システムコールのターゲットデバイスをチェックします。

1. # df -h | grep <some_dir>
/dev/dsk/c2t1d0s6 24G 3.4G 20G 15% /slow-work
2. # ls -l /dev/dsk/c2t1d0s6
/dev/dsk/c2t1d0s6 -> ../../devices/pci@1f,700000/scsi@2/sd@1,0:g
3. notice device major ad minor number
ls -l /devices/pci@1f,700000/scsi@2/sd@1,0:g
brw-r----- 1 root sys 32, 14 Jun 25 15:14 /devices/pci@1f,700000/scsi@2/sd@1,0:g
4. AC> ef /devices/pci@1f,700000/scsi@2/sd@1,0:g defaccess(n) owner(root)
5. # mknod /work/tmp/my_dev b 32, 14
=> EXPECT DENY of access

1. # df -h | grep <some_dir>
/dev/dsk/c2t1d0s6 24G 3.4G 20G 15% /slow-work
2. # ls -l /dev/dsk/c2t1d0s6
/dev/dsk/c2t1d0s6 -> ../../devices/pci@1f,700000/scsi@2/sd@1,0:g
3. デバイスのメジャー番号とマイナー番号を確認します。
ls -l /devices/pci@1f,700000/scsi@2/sd@1,0:g
brw-r----- 1 root sys 32, 14 Jun 25 15:14 /devices/pci@1f,700000/scsi@2/sd@1,0:g
4. AC> ef /devices/pci@1f,700000/scsi@2/sd@1,0:g defaccess(n) owner(root)
5. # mknod /work/tmp/my_dev b 32, 14
=> アクセス拒否が正しい動作です。

1773

TC61313

UNAB

Fixes an issue with ControlMinder where the nss_uxauth module fails to communicate with the agent and suspends its normal processing. This occurs when agent-based debug logging is implemented.

nss_uxauth モジュールがエージェントとの通信に失敗して通常の処理が中断する問題を修正しました。エージェントベースのデバッグロギングが実装されると、この問題が発生します。

AC126SP20132

UNIX all

An error occurs while communicating with the agent (because the agent is down). nss_uxauth module treats this as a hard error.

エージェントとの通信中にエラーが発生します (エージェントがダウンしているため)。nss_uxauth モジュールはこれをハードエラーとして処理します。

565

T5P7199

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where intermittent SURROGATE deny occurs while DB rules allow.

DB ルールでは許可されているにも関わらず断続的な SURROGATE 拒否が発生する問題を修正しました。

AC126SP20134

UNIX all

The problem occurs because of wrong ACEE reference counting.

この問題は、ACEE 参照のカウントが間違っているために発生します。

This package makes two changes: 1) kernel function SEOS_procserver_update() will change references to "old" and "new" acee 2) kernel exit function will check real references in process table when reference counter is equal 1, meaning - last reference.

このパッケージでは以下の 2 つの変更を行います。
1) カーネルの関数 SEOS_procserver_update() は、参照を "old" および "new" ACEE に変更します。
2) カーネルの exit 関数は、参照カウンタが 1 の場合（最新の参照を意味します）、プロセステーブル内の実際の参照をチェックします。

1758

T3DB128

Windows Endpoint Kernel Mode

Fixes an issue with ControlMinder where audit records process termination are missing.

監査レコードのプロセス終了が見つからない問題を修正しました。

AC126SP20137

Windows all

The process termination mask from loophole protection is removed, it should be covered by class process.

ループホール保護からプロセス終了マスクを削除しました。これはクラスプロセスで処理される必要があります。

Removed process termination mask from loophole protectiopn, it should be cobvvered by class process.

ループホール保護からプロセス終了マスクを削除しました。これはクラスプロセスで処理される必要があります。

Try to terminate seosd watchdog - see that despite denial of the operation, AC log contains no appropriate auidt message.

seosd watchdog の終了を試行すると、操作が拒否されるにも関わらず、AC のログには適切な監査メッセージが含まれていません。

571

T5P7202

Windows Endpoint User Mode

Fixes the following issues with ControlMinder:

以下の問題を修正しました：
アプリケーション終了時のアプリケーションエラー。
DB プラグインでのアプリケーションクラッシュ。

AC126SP20145

Windows all

Found and fixed several bugs related to instrumentation unload code.

インストルメンテーションのアンロードコードに関する複数のバグが見つかり、修正されました。

569

T5P7201

Application ERROR on application exit.

Application crash on DB plugins.

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the policyfetcher consumes high CPU usage.

policyfetcher が高い CPU 使用量を示す問題を修正しました。

AC126SP20147

UNIX all

The policyfetcher fails to send/or receive data twice on a target.

policyfetcher がターゲット上で 2 度にわたってデータの送受信に失敗する

1767

T4CC187

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where memory leak occurs in seosd after the scheduled time of ReportAgent.

ReportAgent でスケジュールされた時間が過ぎた後に seosd でメモリリークが発生する問題を修正しました。

AC126SP20153

UNIX all

The problem occurs as the allocated memory to access class definition for checking seos_odf.dat during backup of seosdb is not freed.

この問題は、seosdb のバックアップ中に seos_odf.dat をチェックするためにクラス定義へのアクセス用に割り当てられたメモリが解放されていないために発生します。

ReportAgent is setup and send report of seosdb on sheduled time

ReportAgent をセットアップし、スケジュールされた時間に seosdb のレポートを送信する

1. Setup AC endpoint and ReportaAgent
2. observe seosd size before/after scheduled time of ReportaAgent.
Default is 00:00 every day.
# grep schedule accommon.ini
schedule = 00:00@Sun,Mon,Tue,Wed,Thu,Fri,Sat
run ps -el | grep seosd before 00:00 and after 00:00

1. AC エンドポイントと ReportaAgent をセットアップします。
2. ReportaAgent がスケジュールされた時間の前後で、seosd のサイズを確認します。
デフォルトは毎日 00:00 です。
# grep schedule accommon.ini
schedule = 00:00@Sun,Mon,Tue,Wed,Thu,Fri,Sat
run ps -el | grep seosd before 00:00 and after 00:00

1775

T4CC191 (LINUX x64), T4CC192 (SUN sparc), T4CC193 (AIX)

Windows Endpoint User Mode, UNIX Endpoint User Mode

Fixes an issue with ControlMinder where depoloyments created by "RESTORE HOST" operation were not executed.

"RESTORE HOST" 操作によって作成されたデプロイメントが実行されない問題を修正しました。

AC126SP20154

Windows all, UNIX all

The problem occurs because deployments for RESTORE HOST operation are created without property TYPE. Policyfetcher does not execute deployments that do not have any TYPE, as a result policyfetcher bypasses the deployment.

この問題は、RESTORE HOST 操作に対するデプロイメントが TYPE プロパティなしに作成されるために発生します。policyfetcher は TYPE を持たないデプロイメントを実行しません。その結果、policyfetcher はデプロイメントをバイパスします。

1. Back up seosdb of Endpoint(dbmgr -b).
2. Run the policy deployment.
3. Restore seosdb of Endpoint(dbmgr -r).

Try to restore policy..
1. Open the ENTM UI and navigate to
Policy Management -> Policy -> Troubleshooting -> Restore Host
2. Add the host where the policy is already deployed and click Finish.
3. Check "Deployment Audit".
=> It is first "Queued" and then "fail".
..The policy is never deployed.

1. エンドポイントの seosdb をバックアップします（dbmgr -b）。
2. ポリシーデプロイメントを実行します。
3. エンドポイントの seosdb をリストアします（dbmgr -r）。

ポリシーのリストアを試行します..
1. ENTM UI を開いて、以下に移動します。
［ポリシー管理］ -> ［ポリシー］ -> ［トラブルシューティング］ -> ［ホストの復元］
2. ポリシーがすでにデプロイ済みのホストを追加して、［完了］をクリックします。
3. ［デプロイメント監査］をオンにします。
=> はじめに "キューに格納済み" となり、その後 "失敗" と表示されます。
..ポリシーがデプロイされません。

1772

T4A7025, T4A7026, T4A7028

Windows Endpoint User Mode

Fixes an issue with ControlMinder where selang command failed to fetch data for Property PASSWDRULES.

selang コマンドがプロパティ PASSWDRULES のデータ取得に失敗する問題を修正しました。

AC126SP20157

Windows all

The problem occurs when ControlMinder failed to fetch password rules to access bidirectional mode set to user password.

この問題は、ControlMinder がユーザパスワードを設定するために双方向モードにアクセスするパスワードルールの取得に失敗したときに発生します。

The password rules were disabled by 'so password(rules-)'. selang command set user passowrd

パスワードルールが 'so password(rules-)' によって無効化されているときに、selang コマンドによりユーザパスワードを設定

AC> so password(rules-)
AC> eu test1 admin password(test1) auditor
ERROR: Failed to fetch data for Property PASSWDRULES
-> the error happens
Successfully created USER test1
Native:
===
Successfully created USER test1
AC> su test1
Data for USER 'test1'
-----------------------------------------------------------
User mode : Admin
-> admin is set (specified before password)
auditor is not set (specified after password)

I did same proecdure on RHEL 5.1 x86 and the problem didn't happen; no error happened and both admin and auditor was set.

AC> so password(rules-)
AC> eu test1 admin password(test1) auditor
ERROR: Failed to fetch data for Property PASSWDRULES
-> エラーが発生します。
Successfully created USER test1
Native:
===
Successfully created USER test1
AC> su test1
Data for USER 'test1'
-----------------------------------------------------------
User mode : Admin
-> admin が設定されます (パスワードの前に指定)
auditor が設定されません (パスワードの後に指定)

同じ手順を RHEL 5.1 x86 で実行しても、問題は発生しません。エラーは表示されず、admin と auditor の両方が設定されます。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where 'issec' reports that ControlMinder daemons runs in Workload Partitioning (WPAR) and in global environment.

issec' により ControlMinder デーモンが WPAR (Workload Partitioning) およびグローバル環境で実行されているとレポートされる問題を修正しました。

AC126SP20158

AIX

The problem is with issec from Global Environment - where it reports all policyfetcher instances running.

この問題は、グローバル環境から issec を使用すると、実行中のすべての policyfetcher インスタンスをレポートするというものです。

Install ControlMinder on AIX 7.1 with WPARs.

WPAR を持つ AIX 7.1 上に ControlMinder をインストールする

Install AC on AIX 7.1 with WPARs.
Start AC in Global Environment and WPAR
Execute issec in the Global Environment.
issec reports AC daemons running in the WPARs as well as in Global

WPAR を持つ AIX 7.1 上に AC をインストールします。
グローバル環境および WPAR で AC を開始します。
グローバル環境で issec を実行します。
issec により、AC デーモンがグローバルだけでなく WPAR でも実行中であるとレポートされます。

Windows Endpoint User Mode

Fixes an issue with ControlMinder where an expired user password decrements the grace count each time it connects with the host using the selang 'host' or 'hosts' command. On UNIX this type of login does not change the grace count.

ユーザパスワードが失効している場合、selang の 'host' または 'hosts' コマンドを使用してホストに接続するたびに猶予回数が減少する問題を修正しました。UNIX では、このタイプのログインで猶予回数は変更されません。

AC126SP20159

Windows all

The problem occurs as this type of connection sends login data to the target host SeOSAgent which checks the terminal authorization with NOGRACE flag enabled and verifies the logon data by executing nominal Logon to the Workstation. The logon data comes to eACSubAuth.dll which sends excessive time to seosd for authorization. This excessive time for generic logon results in grace reduction.

この問題が発生するのは、このタイプの接続によりログインデータがターゲットホストの SeOSAgent に送信され、有効な NOGRACE フラグで端末の許可をチェックし、ワークステーションへの形式的なログオンを実行してログオンデータを検証するためです。このログオンデータを eACSubAuth.dll が受け取り、許可のために過剰な時間が seosd へ送信されます。標準ログオンに対するこの過剰な時間が、猶予回数の減少を引き起こします。

SeOSAgent reconized this type of logon writes User and Domain to special named shared memory from where eACSubAuth.dll notified through the signaled event reads this data and comparing with User/Domain camed from LSA is able to recognize that Logon acually is initiated by SeOSAgent allowing to avoid excessive authorization.

このタイプのログオンを認識した SeOSAgent は、ユーザおよびドメインを特殊な名前が付けられた共有メモリに書き込みます。シグナルイベントを介して通知された eACSubAuth.dll は、このデータを読み取り、LSA からのユーザ/ドメインと比較します。これによって、ログオンが実際には SeOSAgent によって開始されたことを認識でき、過剰な許可を回避できます。

1. Create user
eu <hostname>\tuser password(xxxxxx) admin
eu <hostname>\tuser grace(50)
2. Create and authorize terminal for other EP
er terminal(<other EP>) defacc(R) audit(a)
auth terminal(<other EP>) uid(tuser) acc(a)
3. From selang <other EP>
host <hostname> uid(tuser) password(xxxxxx)
OR
Connect to <hostname> from EM.
4. Check on <hostname> decremented grace
su <hostname>\tuser

1. ユーザを作成します。
eu <hostname>\tuser password(xxxxxx) admin
eu <hostname>\tuser grace(50)
2. 他のエンドポイント (other EP) の端末を作成して権限を付与します。
er terminal(<other EP>) defacc(R) audit(a)
auth terminal(<other EP>) uid(tuser) acc(a)
3. <other EP> の selang から
host <hostname> uid(tuser) password(xxxxxx)
または
EM から <hostname> に接続します。
4. <hostname> での猶予回数の減少をチェックします。
su <hostname>\tuser

565

T5P7199

UNAB

Fixes an issue with ControlMinder where the UNAB agent restarts even when the tokens for Restart are disabled (agent_restart_delay= -1).

再起動用のトークンが無効 (agent_restart_delay= -1) であっても UNAB エージェントが再起動する問題を修正しました。

AC126SP20166

UNIX all

1) Install UNAB
2) Register and Activate UNAB
3) Edit the File /etc/uxauth.ini for the token agent_vmemory_max = 50,health_c heck_interval= 300 ,agent_restart_delay = -1 and save the file
4) Stop Unab Agent and start the Agent in Debug Mode
#uxauthd.sh debug 3
5) Check the uxauth debug message
20120905160617.118379 T75 L 1: HealthCheck: Process memory size is 56 MBytes, exceeded limit 50 MBytes
20120905160617.120337 T75 L 1: HealthCheck: Agent auto restart is disabled
20120905160617.825300 T74 L 5: Scheduler: Clean LDAP connections
20120905160617.825673 T74 L 5: Scheduler: Reading tibco queue
20120905160617.825742 T74 L 5: Set message filter: DESTINATION_HOST='lodisun0 41x.epad.com'
20120905160617.840625 T74 L10: Scheduler: AC registered OK
20120905160617.840880 T74 L 5: Scheduler: Check agent critical parameters
20120905160717.127517 T75 L 5: HealthCheck: Check agent critical parameters
20120905160717.128436 T75 L 1: HealthCheck: Process memory size is 56 MBytes, exceeded limit 50 MBytes
20120905160717.129990 T75 L 1: HealthCheck: ""Agent auto restart now"" and the agent is getting restarted.

Expected Result:Agent shouldnt be restarted

1) UNAB をインストールします。
2) UNAB を登録して有効化します。
3) ファイル /etc/uxauth.ini を編集して、トークン agent_vmemory_max = 50、health_check_interval= 300、agent_restart_delay = -1 を設定し、ファイルを保存します。
4) UNAB エージェントを停止して、デバッグモードでエージェントを開始します。
#uxauthd.sh debug 3
5) uxauth デバッグメッセージを確認します。
20120905160617.118379 T75 L 1: HealthCheck: Process memory size is 56 MBytes, exceeded limit 50 MBytes
20120905160617.120337 T75 L 1: HealthCheck: Agent auto restart is disabled
20120905160617.825300 T74 L 5: Scheduler: Clean LDAP connections
20120905160617.825673 T74 L 5: Scheduler: Reading tibco queue
20120905160617.825742 T74 L 5: Set message filter: DESTINATION_HOST='lodisun0 41x.epad.com'
20120905160617.840625 T74 L10: Scheduler: AC registered OK
20120905160617.840880 T74 L 5: Scheduler: Check agent critical parameters
20120905160717.127517 T75 L 5: HealthCheck: Check agent critical parameters
20120905160717.128436 T75 L 1: HealthCheck: Process memory size is 56 MBytes, exceeded limit 50 MBytes
20120905160717.129990 T75 L 1: HealthCheck: ""Agent auto restart now"" and the agent is getting restarted.

正しい結果：エージェントは再起動しません。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the user identity is not available for a user who has not been defined in ControlMinder when sewhoami is executed.

sewhoami の実行時に ControlMinder で定義されていないユーザのユーザ ID を利用できない問題を修正しました。

AC126SP20167

UNIX all

PAM user login sends user id retrieved from user ACEE which is _undefined(-1) to proc table.

PAM ユーザログインは、_undefined(-1) であるユーザ ACEE から取得したユーザ ID を proc テーブルに送信します。

create_user_in_db = no create_user_in_db = no user is not defined in seosdb ssh login

create_user_in_db = no
seosdb にユーザが定義されていない状態で、ssh を使用してログインする

1. disable the tokens
create_user_in_db = no
create_user_in_db = no
2. make sure testuser is not defined in AC
3. login by testuser using ssh
4. run sewhoami

expected result:sewhoami shows testuser
actual result:sewhoami shows nothing

1. 以下のトークンを無効にします。
create_user_in_db = no
2. testuser が AC で定義されていないことを確認します。
3. ssh を使用して testuser でログインします。
4. sewhoami を実行します。

正しい結果： sewhoami は testuser を表示します。
実際の結果： sewhoami は何も表示しません。

1755

T4CC170 (AIX), T4CC171 (HP-UX PA-RISC), T4CC172 (HP-UX IA64), T4CC173 (LINUX x86), T4CC174 (LINUX x64), T4CC175 (LINUX IA64), T4CC176 (LINUX 390), T4CC177 (LINUX 390 64bit), T4CC178 (SUN x86)

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where PACL does not work when invoking a trusted script via 'sh -c'.

sh -c' 経由で trusted スクリプトを呼び出したときに PACL が動作しない問題を修正しました。

AC126SP20172

UNIX all

ControlMinder did not evaluate the trusted program hierarchy properly.

ControlMinder は trusted プログラムの階層を正しく評価していませんでした。

1) Test on Linux X64.
2) Create a script called /tmp/shell1.sh:
#!/bin/sh
#
/usr/bin/echo "aa" >> /tmp/gabi02.txt
/usr/bin/cat /tmp/gabi02.txt
/tmp/shell2.sh
3) Create the script /tmp/shell2.sh:
#!/bin/sh
#
/usr/bin/cat /tmp/gabi02.txt
/usr/bin/date >> /tmp/gabi02.txt
4) AC> nf /tmp/gabi02.txt owner(nobody) audit(a) defacc(a)
AC> nr program /tmp/shell1.sh owner(root) audit(a) defacc(a)

5) start AC.
6) cd /tmp
7) ./shell1.sh
8) /opt/CA/AccessControl/bin/seaudit -a | grep FILE | tail
--> See that you have 4 FILE audit records all with program name of /tmp/shell1.sh as it is a trusted script.

1) Linux X64 上でテストします。
2) /tmp/shell1.sh という名前で以下のスクリプトを作成します。
#!/bin/sh
#
/usr/bin/echo "aa" >> /tmp/gabi02.txt
/usr/bin/cat /tmp/gabi02.txt
/tmp/shell2.sh
3) /tmp/shell2.sh という名前で以下のスクリプトを作成します。
#!/bin/sh
#
/usr/bin/cat /tmp/gabi02.txt
/usr/bin/date >> /tmp/gabi02.txt
4) AC> nf /tmp/gabi02.txt owner(nobody) audit(a) defacc(a)
AC> nr program /tmp/shell1.sh owner(root) audit(a) defacc(a)
5) AC を開始します。
6) cd /tmp
7) ./shell1.sh
8) /opt/CA/AccessControl/bin/seaudit -a | grep FILE | tail
--> プログラム名が '/tmp/shell1.sh' （trusted スクリプト）である 4 件の FILE 監査レコードが見つかります。

1759

TC61300

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where renaming the file is not protected on HP-UX.

HP-UX 上でファイルの名前変更が保護されない問題を修正しました。

AC126SP20173

HPUX PA-RISC

The problem occurs because the original syscall rename() is called inspite of seosd response.

この問題は、iseosd の応答を無視して元のシステムコール rename() が呼び出されるために発生します。

Rename on HP-UX

HP-UX 上での名前変更

1. Create dir and file.
# mkdir /tmp/test
# touch /tmp/test/test.txt
2. Create rules.
AC> ef ("/tmp/test/*") owner(nobody) defacc(none) audit(all)
AC> auth FILE ("/tmp/test/*") uid(root) access(CHMOD READ)
3. Attempt to rename.
# mv test.txt test.txt1
mv: test.txt1: rename: Permission denied
=> Rejected(expected).
audit.log
04 Sep 2012 14:47:47 D FILE root Rename 55 2
/tmp/test/test.txt /usr/bin/mv 155.35.125.172 root
4. But rename was done.
# ls
test.txt1

[Findings] It seems this is only HP, not AIX/Solaris/Linux.
problem starts from r12.5SP4, not observed until r12.5SP3.

1. ディレクトリとファイルを作成します。
# mkdir /tmp/test
# touch /tmp/test/test.txt
2. ルールを作成します。
AC> ef ("/tmp/test/*") owner(nobody) defacc(none) audit(all)
AC> auth FILE ("/tmp/test/*") uid(root) access(CHMOD READ)
3. 名前の変更を試行します。
# mv test.txt test.txt1
mv: test.txt1: rename: Permission denied
=> 拒否（正しい動作）
audit.log
04 Sep 2012 14:47:47 D FILE root Rename 55 2
/tmp/test/test.txt /usr/bin/mv 155.35.125.172 root
4. しかし、実際は名前が変更されています。
# ls
test.txt1

メモ：この問題は HP のみで発生し、AIX/Solaris/Linux では発生しません。
r12.5SP3 までは発生しませんでしたが、r12.5SP4 から発生します。

RO52507

TC61335

Windows Endpoint User Mode

Fixes an issue with ControlMinder where memory leak occurs in the ReportAgent.

ReportAgent でメモリリークが発生する問題を修正しました。

AC126SP20174

Windows all

The problem was with caching Host records and service records (Inbound Outbound traffic). There were no checks on the cache for duplicates, therefore each record increased the cache.

この問題は、ホストレコードとサービスレコード（受信および送信トラフィック）のキャッシュに関連しています。キャッシュ上の重複のチェックが行われていなかったため、各レコードによりキャッシュが増加していました。

The problem is with TCP records. You have to provide audit for DIFFERENT hosts. I.e., you have to enable audit for all traffic in class TCP. Once you have a lot of such records, you have to run reportagent to send the audit and see if it still have memory leaks. A memory leak is reportagent > 40MB memory size.

この問題は TCP レコードに関連しています。問題を再現するには、異なるホストの監査を行う必要があります。具体的には、TCP クラスのすべてのトラフィックの監査を有効にします。大量のレコードを取得したら、ReportAgent を実行して監査を送信し、メモリリークが発生しているかを確認します。メモリリークが発生すると、ReportAgent のメモリサイズが 40MB を超過します。

582

T537724

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where clogin to WPAR is not logged.

WPAR への clogin がログに記録されない問題を修正しました。

AC126SP20176

AIX

The problem occurs as ControlMinder zlogin code has not been enabled for AIX WPARs.

この問題は、ControlMinder の zlogin コードが AIX WPAR で有効になっていなかったために発生します。

clogin on AIX WPAR

AIX WPAR 上での clogin

Solution - this fix provides clogin auditing on AIX WPARs

解決策：この修正により AIX WPAR 上での clogin の監査が実行されます。

Install AC on AIX with WPAR
Load AC kernel in Global
Start AC in WPAR
clogin WPAR

seaudit -a shows /USR/SBIN/LOGIN instead of /USR/SBIN/CLOGIN

WPAR を持つ AIX 上に AC をインストールします。
グローバルで AC カーネルをロードします。
WPAR で AC を開始します。
WPAR で clogin を実行します。

seaudit -a を実行すると、/USR/SBIN/CLOGIN ではなく /USR/SBIN/LOGIN が表示されます。

Windows Endpoint User Mode

Fixes an issue with ControlMinder where dbmgr -export generates the command "editres XGROUP" which selang fails to import.

dbmgr -export により、selang がインポートできないコマンド "editres XGROUP" が生成される問題を修正しました。

AC126SP20177

Windows all

The problem occurs as the selang command "editres XGROUP" is a syntax error.

この問題は、selang コマンド "editres XGROUP" が構文エラーになるために発生します。

XGROUP exist in seosdb

seosdb に XGROUP が存在する

Edit the command from "editres XGROUP" to editxgrp.

コマンドを編集して "editres XGROUP" から editxgrp に変更します。

1. create xgroup
AC> exg administrators
2. export rule
\> dbmgr -e -r > rule.txt
3. load rule
\> selang -f rule.txt
Then, the error happens:
ERROR: Failed to fetch data for Property UACC

I checked exported file and found the command for xgroup as:
editres XGROUP ("BUILTIN\administrators") owner('host\\Administrator')

1. xgroup を作成します。
AC> exg administrators
2. ルールをエクスポートします。
\> dbmgr -e -r > rule.txt
3. ルールをロードします。
\> selang -f rule.txt
以下のエラーメッセージが表示されます：
エラー: プロパティ UACC のデータ取得に失敗しました。

エクスポートされたファイルを確認すると、以下のような xgroup のコマンドが見つかります：
editres XGROUP ("BUILTIN\administrators") owner('host\\Administrator')

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where dbmgr -export generates the command "editres XGROUP" which selang fails to import.

dbmgr -export により、selang がインポートできないコマンド "editres XGROUP" が生成される問題を修正しました。

AC126SP20178

UNIX all

The problem occurs as the selang command "editres XGROUP" is a syntax error.

この問題は、selang コマンド "editres XGROUP" が構文エラーになるために発生します。

XGROUP exist in seosdb

seosdb に XGROUP が存在する

Edit the command from "editres XGROUP" to editxgrp.

コマンドを編集して "editres XGROUP" から editxgrp に変更します。

1. create xgroup
AC> exg administrators
2. export rule
\\> dbmgr -e -r > rule.txt
3. load rule
\\> selang -f rule.txt
Then, the error happens:
ERROR: Failed to fetch data for Property UACC

I checked exported file and found the command for xgroup as:
editres XGROUP ("BUILTIN\\administrators") owner('host\\\\Administrator')

1. xgroup を作成します。
AC> exg administrators
2. ルールをエクスポートします。
\\> dbmgr -e -r > rule.txt
3. ルールをロードします。
\\> selang -f rule.txt
以下のエラーメッセージが表示されます：
エラー: プロパティ UACC のデータ取得に失敗しました。

エクスポートされたファイルを確認すると、以下のような xgroup のコマンドが見つかります：
editres XGROUP ("BUILTIN\\administrators") owner('host\\\\Administrator')

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the HULFT job does not complete while ControlMinder is working. This issue continues from 20738240-01, 20982975-01.

ControlMinder が動作していても HULFT ジョブが完了しない問題を修正しました。この問題は 20738240-01、20982975-01 から継続しています。

AC126SP20180

Windows all

The problem occurs because seosd was unloading while a thread is still running.

この問題は、スレッドの実行中に seosd がアンロードされたために発生します。

On secons -s.

secons -s の実行時

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where SESU does not return the exit status of the command.

SESU がコマンドの終了ステータスを返さない問題を修正しました。

AC126SP20182

UNIX all

The problem occurs as SESU returns 0 instead of the executed command's return code.

この問題は、SESU が、実行されたコマンドのリターンコードの代わりに 0 を返すために発生します。

Write a script that does 'exit 3'.
Run the script via 'sesu user -c <script>'.
See that 'echo $?' after sesu execution returns 3.

exit 3' を実行するスクリプトを作成します。
'sesu user -c <script>' を使用して、このスクリプトを実行します。
sesu 実行後の 'echo $?' が 3 を返すことを確認します。

1782

TC61317

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the password rule (sub_str_len) is configured to 5 characters, but the password can still be changed even when there are 6 characters.

パスワードルール (sub_str_len) が 5 文字に設定されても 6 文字のパスワードに変更できる問題を修正しました。

AC126SP20183

Windows all

The problem occurs because the password validation was implemented in UNIX only and was never ported to the Windows endpoint (though the database and selang supports it).

この問題は、パスワード検証が UNIX のみで実装されており、Windows エンドポイントにはポートされていなかった（ただし、データベースと selang ではサポートされています）ために発生します。

581

T5P7207

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the seosd service fails to re-start in global and in the local zone after reboot.

リブート後にグローバルおよびローカルゾーンで seosd サービスの再起動に失敗する問題を修正しました。

AC126SP20186

UNIX all

The problem occurs as the the seosd takes too long to boot. The system stops the start process after the timeout expires.

この問題は、seosd の起動に時間がかかりすぎるために発生します。タイムアウトの期限が切れると、システムは起動プロセスを停止します。

System reboot

システムの再起動

Set bigger timeout for "start" method in seosd SMF manifest

seosd SMF マニフェスト内で、"start" メソッドのタイムアウトをより大きい値に設定します。

Solaris 10,
1. Do in global zone and all internal zones
# svcadm clear seosd
# svcadm enable seosd
2. Check service is "online" in global and all internal zones
# svcs -l seosd
3. reboot the system
=> Expect seosd service is online in global and all internal zones

Solaris 10 で以下の手順を実行します。
1. グローバルゾーンとすべての内部ゾーンで以下を実行します。
# svcadm clear seosd
# svcadm enable seosd
2. グローバルゾーンとすべての内部ゾーンでサービスが "online" であることを確認します。
# svcs -l seosd
3. システムを再起動します。
=> 正しい動作： seosd サービスがグローバルゾーンとすべての内部ゾーンで online となります。

1778

T3DB133

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the program class MTIME flag is missing in the dbmgr export output.

dbmgr エクスポート出力でプログラムクラスの MTIME フラグが見つからない問題を修正しました。

AC126SP20188

UNIX all

The problem occurs as the MTIME missed from the trusted pgm flags list.

この問題は、trusted pgm フラグリストから MTIME が失われるために発生します。

Specify flags MTIME of PROGRAM.

PROGRAM の MTIME フラグを指定する

Add MTIME to flags of PROGRAM to exported file.

エクスポートされたファイルの PROGRAM のフラグに MTIME を追加します。

1. Create a program rule with mtime flag.
a. er program /tmp/test1 flags(mtime)
b. er program /tmp/test2 flags(mtime ctime)
2. Export the AC rules with dbmgr.
dbmgr -e -r
3. mtime flag is missing.
a. editres PROGRAM ('/tmp/test1') audit(FAILURE) defaccess(NONE) owner('root') flags(NONE)
b. editres PROGRAM ('/tmp/test2') audit(FAILURE) defaccess(NONE) owner('root') flags(CTIME)

1. mtime フラグを含むプログラムルールを作成します。
a. er program /tmp/test1 flags(mtime)
b. er program /tmp/test2 flags(mtime ctime)
2. dbmgr を使用して AC ルールをエクスポートします。
dbmgr -e -r
3. mtime フラグが見つかりません。
a. editres PROGRAM ('/tmp/test1') audit(FAILURE) defaccess(NONE) owner('root') flags(NONE)
b. editres PROGRAM ('/tmp/test2') audit(FAILURE) defaccess(NONE) owner('root') flags(CTIME)

Windows Endpoint Kernel Mode

Fixes an issue with ControlMinder where the sewhoami utility displays a wrong user name.

sewhoami ユーティリティが間違ったユーザ名を表示する問題を修正しました。

AC126SP20189

LINUX all

The login program gdm-binary never terminates. ControlMinder does not detect the last process of the gnome-session, as another gnome-session is saved in the ControlMinder process table.

ログインプログラム gdm-binary が終了しません。ControlMinder プロセステーブルに別の gnome-session が保存されているため、ControlMinder は gnome-session の最終プロセスを検出しません。

RH5 GDM console login

RH5 GDM コンソールログイン

This package improves function detecting last "gnome-session" counting just alive processes. The AC process table may have dead "gnome-session" processes.

このパッケージでは関数が改良され、最終の "gnome-session" を検出して実行中のプロセスのみをカウントします。AC プロセステーブルには終了した "gnome-session" プロセスが含まれる場合があります。

(virtual image on vSphere)
1. Start AC
2. login via GDM console as "test1", then exit GDM
3. Login via GDM console as "test2", and check "sewhoami -a"
ACTUAL: sewhoami shows "test1"
EXPECTED: sewhoami shows "test2"

（vSphere 上の仮想イメージ）
1. AC を開始します。
2. GDM コンソールから "test1" としてログインし、GDM を終了します。
3. GDM コンソールから "test2" としてログインし、"sewhoami -a" を実行します。
実際の結果： "test1" が表示されます。
正しい結果： "test2" が表示されます。

1733

T3DB131

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where nu- homeDir does not add the user name to the home directory path if the directory path ends with a slash.

ディレクトリパスがスラッシュで終了している場合、nu- homeDir を実行してもホームディレクトリパスにユーザ名が追加されない問題を修正しました。

AC126SP20190

UNIX all

An incorrect change was made to the functionality of homeDir where ControlMinder did not concatenate user name to the path.

homeDir の機能に誤った変更が行われた結果、ユーザ名がパスに連結されていませんでした。

specify native/unix homedir that ends with a /(slash) for native user creation.

ネイティブユーザの作成で、末尾が '/' （スラッシュ）のネイティブ/Unix ホームディレクトリを指定する

Specify full path that ends with user name for user creation.

ユーザの作成時に、フルパスの末尾がユーザ名となるように指定します。

1780

T4CC194 (Solaris SunSparc), T4CC195 (Solaris SunSparc/x86), T4CC196 (Linux x86/x64/ia64)

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where sesu - targetUid failed to execute a ksh script.

sesu - targetUid が ksh スクリプトを実行できない問題を修正しました。

AC126SP20192

UNIX all

The problem occurs as the PATH is set twice. A PATH is set in seos.ini PATH=/usr/bin:/usr/sbin and another in /etc/environment.

この問題は、PATH が 2 度設定されているために発生します。1 つ目の PATH は seos.ini で PATH=/usr/bin:/usr/sbin と設定されており、もう 1 つは /etc/environment に設定されています。

We need to run "sesu - user01".
Path in seos.ini is set.
sys_env_file = /etc/environment.
/etc/environment has a PATH there.

"sesu - user01" を実行する際に
seos.ini で PATH が設定され、sys_env_file = /etc/environment が定義されており、
/etc/environment にも PATH が設定されている場合

Please see the steps above.
1. vi seos.ini
Path = /usr/bin:/usr/sbin
sys_env_file = /etc/environment
Please make sure PATH is set in /etc/environment with path /opt/CA/AccessControl/bin.
2. vi /etc/passwd
Pick a user, let's say user01. please change the /bin/sh to /bin/csh.
3. create a a ksh script in /home/user01.
#!/bin/ksh
echo $PATH
selang
============================
The objective is we want to see if PATH is inherited from csh to the ksh script execution.
if it works, then selang should be executed (we don't care if there is error in selang. we just need to check if selang is able to run without a long path.)

上記の手順を参照してください。
1. vi seos.ini
Path = /usr/bin:/usr/sbin
sys_env_file = /etc/environment
/etc/environment で PATH が /opt/CA/AccessControl/bin に設定されていることを確認します。
2. vi /etc/passwd
あるユーザ（たとえば user01）の /bin/sh を /bin/csh に変更します。
3. /home/user01 に ksh スクリプトを作成します。
#!/bin/ksh
echo $PATH
selang
============================
PATH が csh から ksh スクリプトの実行に継承されているかどうかを確認します。
このスクリプトが動作すれば、selang を実行できます（selang でエラーが発生するかどうかは問題ではありません。確認する必要があるのは、長いパスを指定せずに selang を実行できるかどうかです）。

1779

T243987

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where PACL fails when two trusted scripts exchange i-nodes.

2 つの trusted スクリプトが i-ノードを交換すると PACL が失敗する問題を修正しました。

AC126SP20193

UNIX all

The problem occurs because the trusted script has a new i-node while another program has the same i-node.

この問題は、trusted スクリプトが新しい i-ノードを取得し、別のプログラムが同じ i-ノードを持つ場合に発生します。

In EXEC handler: search accessing program by file path in program table, update i-node value for this program if appropriate pgmflag is not defined

EXEC ハンドラで、プログラムテーブル内のファイルパスによってアクセス対象プログラムを検索し、適切な pgmflag が定義されていない場合は、このプログラムの i-ノード値を更新します。

1804

RO52633

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where a denial occurs for PACL property with a changed i-node even when they are trusted script by the DB.

DB による trusted スクリプトであっても、 i-ノードが変更された PACL プロパティで拒否が発生する問題を修正しました。

AC126SP20194

UNIX all

The problem occurs because the seosd process table searched for the device and inode in the program table and sets run time flag "trusted=0".

この問題は、seosd プロセステーブルがプログラムテーブル内のデバイスおよび i-ノードを検索し、ランタイムフラグに "trusted=0" を設定するために発生します。

Program "vi" changes program i-node when file is saved.

"vi" プログラムは、ファイルの保存時にプログラムの i-ノードを変更します。

Change procserver.c, call trpgmmgr_GetBestEntry() instead of trpgmmgr_GetTrustedProgByDevice()

procserver.c を変更して、trpgmmgr_GetTrustedProgByDevice() の代わりに trpgmmgr_GetBestEntry() をコールします。

1749

T3DB126, T3DB127

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where sepass doesn't set grace count 1 by the administrative password change.

管理パスワードを変更しても sepass が猶予回数 1 をセットしない問題を修正しました。

AC126SP20195

UNIX all

This problem occurs after package AC126SP10176 was introduced.

この問題は、パッケージ AC126SP10176 の導入後に発生します。

Admin password change by sepass

sepass による Admin パスワードの変更

1. enable PASSWORD class
2. check user, tusr02, properties. grace does not set.
3. change password by pwmanager, root, for the user at step 2.
sepass tusr02
4. check user properties again.
selang -c 'su tusr02'

Expected Results: Gracelogins : 1
Actual Results: no gracelogins set

1. PASSWORD クラスを有効化します。
2. ユーザ tusr02 のプロパティを確認します。猶予ログインは設定されていません。
3. pwmanager である root で、手順 2 のユーザのパスワードを変更します。
sepass tusr02
4. ユーザのプロパティを再度確認します。
selang -c 'su tusr02'

正しい結果：猶予ログイン : 1
実際の結果：猶予ログインが設定されていません

1784

T4CC198

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where KBL auditing terminates in WPARs when ControlMinder shuts down in one WPAR.

1 つの WPAR で ControlMinder がシャットダウンすると WPAR 内の KBL 監査が終了する問題を修正しました。

AC126SP20196

AIX

This problem occurs because KBL does not work correctly with zones or WPARs.

この問題は、Zones または WPARで KBL が正しく動作しないために発生します。

KBL running on Solaris zones or AIX WPARs

Solaris Zones または AIX WPAR 上で KBL が実行されている

Steps to reproduce :
1. Install AC
2. Set kbl tokens in global and wpars
3. Load AC kernel and start AC on global (ismeaxp6-71) and wpars (ismeaxp6-71wps1 and ismeaxp6-71wpsp1)
4. Create a user in wpar1 (ismeaxp6-71wps1)
Nu demo1 password(demo1) audit(interactive)
5. Login as demo1 and verify kbl audit as root
Kbl works , audit can be verified using
Seaudit -kbl
6. Restart AC services on wpar2 (ismeaxp6-71wpsp1)
Secons -sk or secons -s ; seload
7. In wpar1 , Login as demo1 user and verify kbl audit as root
Seaudit -kbl

Actual result : Kbl audit doesn't show demo1 logins
Expected result : Kbl should work , demo1 logins should be displayed .
NOTE : Restarting AC on any of the wpars causes kbl not to work on the wpars nd global . Restarting AC on global , makes Kbl to work on global and wpars

再現手順：
1. AC をインストールします。
2. グローバルおよび WPAR に KBL トークンを設定します。
3. AC カーネルをロードして、グローバル（ismeaxp6-71）および WPAR （ismeaxp6-71wps1 と ismeaxp6-71wpsp1）で AC を開始します。
4. WPAR1 （ismeaxp6-71wps1）にユーザを作成します。
nu demo1 password(demo1) audit(interactive)
5. demo1 としてログインし、 root として KBL 監査を確認します。
KBL が動作していれば、以下のコマンドで監査を確認できます。
seaudit -kbl
6. WPAR2 （ismeaxp6-71wpsp1）で AC サービスを再起動します。
secons -sk または secons -s ; seload
7. WPAR1 で demo1 ユーザとしてログインし、root として KBL 監査を確認します。
seaudit -kbl

実際の結果： KBL 監査に demo1 のログインが表示されません。
正しい結果： KBL が動作しており、demo1 のログインが表示されます。
注：任意の WPAR で AC を再起動すると、WPAR およびグローバルで KBL が動作しなくなります。グローバルで AC を再起動すると、グローバルおよび WPAR で KBL が動作します。

1686

T540174

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where shell becomes root after executing the sesudo command.

sesudo コマンドの実行後にシェルが root になる問題を修正しました。

AC126SP20197

UNIX all

The problem occurs because ControlMinder uses SUDO as a shell.

この問題は、ControlMinder で SUDO をシェルとして使用するために発生します。

1747

TC61258 (HPUX IA64), TC61291 (AIX), TC61292 (Solaris Sparc), TC61293 (Linux X86), TC61294 (HPUX PA-RISC), TC61295 (Solaris X86), TC61296 (Linux X64), TC61259 (HPUX IA64), TC61260 (AIX), TC61261 (HPUX PA-RISC), TC61262 (Linux X64), TC61263 (Solaris Sparc), TC61297 (Solaris X86), TC61298 (Linux X86)

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the ControlMinder does not identify the init process in WPAR.

ControlMinder が WPAR 内の init プロセスを識別しない問題を修正しました。

AC126SP20201

AIX

The problem occurs because functions to detect init and sched processes in WPAR were missing.

この問題は、WPAR 内の init および sched プロセスを検出する関数が存在しなかったために発生します。

Running AC in AIX WPAR

AIX WPAR で AC が実行されている

Solution. Apply kernel module with fix

解決策：カーネルモジュールに修正を適用します。

1686

T540174

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where a syntax error occurs in the audit.cfg file when seosd core dumps.

audit.cfg ファイルに構文エラーが発生すると seosd がコアダンプする問題を修正しました。

AC126SP20203

UNIX all

The problem occurs because the Trace File line ends with ';' when ControlMinder expects a token after ;. This causes the core dump.

この問題は、ControlMinder が ';' の後にトークンを予期しているのにトレースファイルの行が ';' で終わっているために発生します。これによってコアダンプが発生します。

We need to add this line to audit.cfg. TRACE;FILE;/etc/passwd;*;root;*;*; Please try to reproduce it on Aix.

audit.cfg に以下の行を追加する必要があります。
TRACE;FILE;/etc/passwd;*;root;*;*;
AIX 上で再現するかどうかを試行してください。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the ObserveIT injected code results in seagent utilizing 50% of the CPU.

ObserveIT によるコード挿入により seagent の CPU 使用率が 50% になる問題を修正しました。

AC126SP20204

UNIX all

The problem occurs because of the 3rd party code injection.

この問題は、サードパーティのコード挿入によって発生します。

Installed ObserveIT

ObserveIT がインストールされている

Unset pre-load library path in main daemons

メインデーモン内のプリロードライブラリパスの設定を解除します。

1757

T243979

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the cronjob script fails when ControlMinder KBL is enabled.

ControlMinder KBL が有効であるときに cronjob スクリプトが失敗する問題を修正しました。

AC126SP20207

UNIX all

The /bin/false is saved in table of shell scripts /etc/shells

シェルスクリプト /etc/shells のテーブルに /bin/false が保存されています。

KBL enabled

KBL が有効

AC should not add /bin/false and /bin/true to internal table of shells

AC によって、シェルの内部テーブルに /bin/false および /bin/true が追加されないようにします。

1788

T3DB141

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the sesudo command could not handle special shell characters. For example, * and ; in command embed it with "".

sesudo コマンドが特殊なシェル文字を処理できない問題を修正しました。たとえば、コマンド内の '*' や ';' が "" に含まれている場合です。

AC126SP20209

UNIX all

The problem occurs as sesu/su in SUDO data Could not handle special shell characters in sesudo commands.

この問題は、SUDO データ内の sesu/su が、sesudo コマンド内の特殊なシェル文字を処理できないために発生します。

1747

Windows Endpoint User Mode, UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the policy deployment utility -getrules command does not work.

policydeploy ユーティリティの -getrules コマンドが動作しない問題を修正しました。

AC126SP20213

Windows all, UNIX all

The problem occurs as an option was an added to the feature.

この問題は、この機能にオプションが追加されたために発生します。

dmsmgr -create -auto
Use this command to create a DMS__ DH__ environment.
policydeploy -create policyName -ds /tmp/t1.txt -uds /tmp/t2.txt -dms DMS__@
policydeploy -getrules policyname -ds /tmp/t1.txt -uds /tmp/t2.txt -dms DMS__@
above command returns an error.

dmsmgr -create -auto
このコマンドを使用して、DMS__ DH__ 環境を作成します。
policydeploy -create policyName -ds /tmp/t1.txt -uds /tmp/t2.txt -dms DMS__@
policydeploy -getrules policyname -ds /tmp/t1.txt -uds /tmp/t2.txt -dms DMS__@
上記のコマンドがエラーを返します。

528

T243831, T243832

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the SFTP login is not detected.

SFTP ログインが検出されない問題を修正しました。

AC126SP20216

UNIX all

The "ksh" 3rd argument is not separated by null. It is possible that string '/usr/sbin/sftp-server -m /etc/ssh/sshd_config' was copied to kernel as one argument.

"ksh" の3 つ目の引数が NULL で区切られていません。文字列 '/usr/sbin/sftp-server -m /etc/ssh/sshd_config' が 1 つの引数としてカーネルにコピーされた可能性があります。

Set zero terminator in for sftp program path in seosd EXEC handler

seosd EXEC ハンドラ内の sftp プログラムパスにゼロ終端記号を設定します。

1791

T3DB137

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where secons -scl reports blocking syscalls incorrectly when ControlMinder is not running in all WPARs and Global environments.

ControlMinder がすべての WPAR およびグローバル環境で動作していない場合に、secons -scl がブロッキングシステムコールを誤ってレポートする問題を修正しました。

AC126SP20217

AIX

The design of the secons -scl implementation does not take into account the situation where there are multiple instances of ControlMinder running in virtual machines, but using the same common intercept hooking mechanism.

secons -scl 実装の設計では、仮想マシンで実行されている ControlMinder の複数インスタンスで、同一の共通インターセプトフッキングメカニズムを使用するような状態を想定していません。

AIX with WPARs

WPAR を持つ AIX

1. Install AC in Global and WPAR
2. Start AC in Global only
3. In WPAR, run perl script that blocks in accept:

cat /tmp/accept_block.pl
#!/usr/bin/perl
use warnings;
use Socket;
my $port = 12345;
socket(my $server, PF_INET, SOCK_STREAM, getprotobyname("tcp"));
setsockopt($server, SOL_SOCKET, SO_REUSEADDR, 1);
my $addr = sockaddr_in($port, INADDR_ANY);
bind($server, $addr);
listen($server, SOMAXCONN);

while (accept(my $client, $server)) {
print "hello\n";
} continue {
close $client;
}
close($server);

4. In global, run secons -scl
Blocking syscall reported with pid of 0 - not the real pid

1. グローバルおよび WPAR に AC をインストールします。
2. グローバルのみで AC を開始します。
3. WPAR で、accept をブロックする以下の perl スクリプトを実行します。

cat /tmp/accept_block.pl
#!/usr/bin/perl
use warnings;
use Socket;
my $port = 12345;
socket(my $server, PF_INET, SOCK_STREAM, getprotobyname("tcp"));
setsockopt($server, SOL_SOCKET, SO_REUSEADDR, 1);
my $addr = sockaddr_in($port, INADDR_ANY);
bind($server, $addr);
listen($server, SOMAXCONN);

while (accept(my $client, $server)) {
print "hello\n";
} continue {
close $client;
}
close($server);

4. グローバルで、secons -scl を実行します。
ブロッキングシステムコールが、実際の pid ではなく pid 0 でレポートされます。

Windows Endpoint User Mode, UNIX Endpoint User Mode

Fixes an issue with ControlMinder where a JBOSS memory error occurs due to the ReportAgent.

ReportAgent により JBOSS メモリエラーが発生する問題を修正しました。

AC126SP20221

Windows all, UNIX all

The problem occurs because the ReportAgent sends huge data (DB snapshot + audit) which causes a JBOSS memory error.

この問題は、ReportAgent が大量のデータ（DB スナップショット＋監査データ）を送信すると JBOSS のメモリエラーを引き起こすために発生します。

145

T5P7238

Windows Endpoint User Mode

Fixes an issue with ControlMinder where new rules are added to the PMDB.

PMDB に新規ルールが追加される問題を修正しました。

AC126SP20223

Windows all

The problem occurs because the upgrade process for PMDB should not create __local__ hnode rule in the PMDB database. __local__ hnode rule should be created only in the seosdb database.

この問題は、PMDB のアップグレードプロセスで PMDB データベースに __local__ hnode ルールが作成されてしまうために発生します。 __local__ hnode ルールは seosdb データベース内にのみ作成される必要があります。

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where the sewhoami utility displays a wrong user name.

sewhoami ユーティリティで間違ったユーザ名が表示される問題を修正しました。

AC126SP20228

UNIX all

The problem occurs because my_setuid wrappers overwrite uids in the proc table with uids in the setuid syscalls.

この問題は、my_setuid ラッパーが proc テーブル内の uid を setuid システムコール内の uid で上書きするために発生します。

check error status of system internal setuid syscalls and put back previous uids only if system setuid fails.

システム内部の setuid システムコールのエラーステータスを確認して、システムの setuid が失敗した場合のみ、以前の uid に戻します。

1. create user in selang
2. login as the user
3. su to root
4. sewhoami

1. selang でユーザを作成します。
2. 作成したユーザでログインします。
3. su を実行して root になります。
4. sewhoami を実行します。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where PAM login from a console is ignored.

コンソールからの PAM ログインが無視される問題を修正しました。

AC126SP20229

UNIX all

PAM login from console ignored for a none root user with uid 0.

uid 0 の非ルートユーザでは、コンソールからの PAM ログインが無視されていました。

1795

TC61324

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where mount protection does not work on AIX.

AIX 上でマウント保護が動作しない問題を修正しました。

AC126SP20230

AIX

The problem occurs because of a coding error.

この問題はコーディングエラーにより発生します。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where getvar.sh fails to parse /etc/redhat-release file correctly on RHEL systems.

RHEL システム上で getvar.sh が /etc/redhat-release ファイルを正しく解析できない問題を修正しました。

AC126SP20242

LINUX x86

The commented lines should be ignored in /etc/redhat-release file

/etc/redhat-release ファイルのコメント行は無視される必要があります。

RHEL compatible linux release

RHEL 互換の Linux リリース

Install updated getvar.sh file start Access Control

更新された getvar.sh ファイルをインストールして、Access Control を起動します。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the ReportAgent crashes while retrieving records having an empty data.

空のデータを持つレコードの取得中に ReportAgent がクラッシュする問題を修正しました。

AC126SP20246

UNIX all

The problem occurs because record validation does not check data pointer on NULL causing the failure.

この問題は、レコード検証で、エラーを引き起こす NULL のデータポインタをチェックしないために発生します。

Add checking data pointer and skipping corrupted record.

データポインタのチェックを追加して、破損レコードをスキップします。

1797

T5P7211 (AIX), T5P7212 (HPUX), T5P7213 (HPUX IA64), T5P7214 (LINUX), T5P7215 (LINUX X64), T5P7216 (Solaris)

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where the system crashes in fi_detach_q on HPUX.

HPUX 上の fi_detach_q でシステムがクラッシュする問題を修正しました。

AC126SP20247

HPUX IA64

The problem occurs because of the race condition between NET_STR_CACHED and ControlMinder detaching queue.

この問題は、NET_STR_CACHED と ControlMinder デタッチキューの間の競合状態により発生します。

ControlMinder was not protecting Streams head while detaching from streams.

ストリームからのデタッチ中に、ControlMinder がストリームヘッドを保護していない

Disable ControlMinder streams.

ControlMinder ストリームを無効化します。

176

TC61311

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the AIX package does not set correct file permissions for sepass, sesudo, and issec.

AIX パッケージが sepass、sesudo、および issec に正しいファイル権限を設定しない問題を修正しました。

AC126SP20258

AIX

The problem occurs because chmod in the post-install script is ovewritten by the original permission of issec from the bff package.

この問題は、ポストインストールスクリプト内の chmod が、bff パッケージからの issec の元の権限によって上書きされるために発生します。

Install AC on AIX 5.2 using customize_eac_bff and installp on that AIX 5.2 machine

customize_eac_bff を使用して AIX 5.2 上に AC をインストールし、その AIX 5.2 マシン上で installp を実行する

Soution is to apply this fix to customize_eac_bff and customize AC for AIX 5.2 on the AIX 5.2 system

解決策：この修正を customize_eac_bff に適用して、AIX 5.2 システムの AC for AIX 5.2 をカスタマイズします。

On AIX 5.2
1. Customize the AC AIX package with
./customize_eac_bff -d `pwd` -w proceed CAeAC.12.6.1.1676.bff
2. Install CAeAC
installp -d `pwd` -a CAeAC
3. Verify the file permission on issec
ls -l /opt/CA/AccessControl/bin/issec
-r-sr-xr-x 1 root system 124472 Oct 13 20:30 issec
and note that setuid bit is not set without this fix

AIX 5.2 で以下の手順を実行します。
1. 以下のコマンドを実行して AC AIX パッケージをカスタマイズします。
./customize_eac_bff -d `pwd` -w proceed CAeAC.12.6.1.1676.bff
2. CAeAC をインストールします。
installp -d `pwd` -a CAeAC
3. issec のファイル権限を確認します。
ls -l /opt/CA/AccessControl/bin/issec
-r-sr-xr-x 1 root system 124472 Oct 13 20:30 issec
この修正を適用していない場合、setuid ビットが設定されていません。

Windows Endpoint Kernel Mode

Fixes an issue with ControlMinder where VSphere installation hangs on x64 platforms.

x64 プラットフォームで VSphere インストールがハングする問題を修正しました。

AC126SP20261

Windows all

The problem occurs because of compatibility issues with .Net assembly.

この問題は、.Net アセンブリの互換性の問題によって発生します。

Added to driver capacity to read instrumentation settings of plugins and create white list of processes that should be instrumented

プラグインのインストルメンテーション設定を読み取り、インストルメンテーションが必要なプロセスのホワイトリストを作成する機能がドライバに追加されました。

587

T5P7217

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the IIS process crash when trying to implement database integration with OLEDB connection against Oracle database.

OLEDB 接続を使用して Oracle データベースとのデータベース統合を実装しようとすると IIS プロセスがクラッシュする問題を修正しました。

AC126SP20275

Windows all

The problem was caused because of bad memory access within our OLEDBPLg instrumentqation process which is loaded by w3wp.exe IIS process.

この問題は、w3wp.exe IIS プロセスによってロードされる OLEDBPLg インストルメンテーションプロセス内の不正なメモリアクセスによって発生します。

Install a fix containing the code change in this package. No other work around.

コード変更を含む修正をこのパッケージにインストールします。その他の回避策はありません。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where SEOS_load causes a panic on RHEL 6.

RHEL 6 上で SEOS_load によりパニックが発生する問題を修正しました。

AC126SP20299

LINUX x64

Incorrect call to get_x86_64_table() on RHEL 6 xen

RHEL 6 xen 上での get_x86_64_table() の無効なコール

System oops on SEOS_load on RHEL 6 paravirtualized VM

RHEL 6 の準仮想化 VM 上で SEOS_load を実行するとシステムパニックが発生

Solution is to install a new kernel module with this fix

解決策：この修正を適用した新しいカーネルモジュールをインストールします。

1800

TC61331

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where audit record for kill is not generated if the user does not have permissions to kill the process.

ユーザにプロセスの kill を実行する権限がない場合、kill に対する監査レコードが生成されない問題を修正しました。

AC126SP20302

LINUX all

In seos kill wrapper my_kill(), before sending request to seosd (for reducing amount of requests) we check permissions for user to kill the process.

seos kill ラッパー my_kill() 内で、seosd に要求を送信する前に（要求量を削減するため）プロセスの kill を実行するユーザの権限をチェックします。

Linux user doesn't have permissions to kill the process

Linux ユーザにプロセスの kill を実行する権限がない

1) protect process top from killing
2) run top as non root
3) kill top as root

1) top プロセスを kill から保護します。
2) root 以外のユーザで top を実行します。
3) root で top に対する kill を実行します。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where it takes 4-8 minutes to receive the results when there are many deployments and gdeployments (around 70000 objects).

多数の deployment および gdeployment オブジェクトがある場合（約 70000 オブジェクト）、結果を受け取るのに 4 ～ 8 分かかる問題を修正しました。

AC126SP20318

UNIX all

We dont have a mechanism to receive all the deployment objects from the DMS using paging. using filters helps (policy, host, host group, etc) but not resolve the performance problem.

ページングを使用して DMS からすべての deployment オブジェクトを受け取るメカニズムはありません。フィルタの使用は役に立ちますが（ポリシー、ホスト、ホストグループなど）、パフォーマンスの問題は解決されません。

132, 586, 98

T4A7036, T4A7037, T4A7038, and T4A7039

RO50732, T5P0093

Windows Endpoint User Mode

Fixes an issue where ControlMinder Silent installation fails.

ControlMinder のサイレントインストールが失敗する問題を修正しました。

AC126SP20319

Windows all

The problem occurs because the registry values were not set correctly during silent installation.

この問題は、サイレントインストール中にレジストリ値が正しく設定されていなかったために発生します。

UNAB

Fixes an issue with ControlMinder where the ControlMinder Unix Attributes tab does not appear when the filter or search operation is used with AD Users and Computers.

AD ユーザとコンピュータでフィルタまたは検索操作が使用されたときに ControlMinder Unix 属性タブが表示されない問題を修正しました。

AC126SP20321

Windows all

Thr problem because the UNIX Attribute tab does not support filter or search operation in ADUC.

この問題は、UNIX 属性タブが、ADUC でのフィルタまたは検索操作をサポートしないために発生します。

1) Install Access Control Unix Attributes AC126SP1 GA on domain controller (install x86 package on x86 machine and x64 on x64 machine).
2) Open “Active Directory Users and Computers” MMC.
3) Double click on a user and verify that the “Access Control Unix Attributes” tab exists.
4) In the upper side of the MMC, click on search and search for the user.
5) From the search results , Double click on the user and verify that the “Access Control Unix Attributes” tab NOT exists.

1) ドメインコントローラに Access Control Unix Attributes AC126SP1 GA をインストールします（x86 マシンには x86 パッケージを、x64 マシンには x64 パッケージをインストールします）。
2) ［Active Directory ユーザーとコンピュータ］ MMC を開きます。
3) ユーザをダブルクリックして、［Access Control UNIX 属性］タブが存在することを確認します。
4) MMC の上部で［検索］をクリックし、ユーザを検索します。
5) 検索結果のユーザをダブルクリックして、［Access Control UNIX 属性］タブが存在しないことを確認します。

589

T537726

UNAB

Fixes an issue with ControlMinder where the ControlMinder Unix Attributes tab does not appear when the filter or search operation is used with AD Users and Computers.

AD ユーザとコンピュータでフィルタまたは検索操作が使用されたときに ControlMinder Unix 属性タブが表示されない問題を修正しました。

AC126SP20322

Windows all

The problem occurs becuase of wrong use of the COM object.

この問題は、COM オブジェクトの使用が間違っているために発生します。

589

T537726

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the audit log does not record user login to a server.

サーバへのユーザログインが監査ログに記録されない問題を修正しました。

AC126SP20323

UNIX all

The problem occurs because the login process loginflag is NOT set to pamlogin.

この問題は、ログインプロセスの loginflag が pamlogin に設定されていないために発生します。

We can reproduce the in telnet only. /usr/bin/loing is not set with pamlogin.

この問題は telnet のみで再現できます。/usr/bin/login が pamlogin に設定されていません。

set /usr/bin/login with the same settings as loginappl TELNET.

/usr/bin/login を loginappl TELNET と同じ設定にします。

1807

T52V001

Windows Endpoint User Mode

Fixes an issue with ControlMinder where during upgrade the distribution_server registry value is empty.

ControlMinder のアップグレード中に distribution_server レジストリ値が空になる問題を修正しました。

AC126SP20340

Windows all

The problem occurs because of a defect in the upgrade process.

この問題は、アップグレードプロセスのエラーにより発生します。

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the ControlMinder Support utility (ACSupport) fails to gather the event log.

ControlMinder サポートユーティリティ（ACSupport）がイベントログの収集に失敗する問題を修正しました。

AC126SP20347

Windows all

The FormatMessage error occurs because the number of strings, obtained from application message does not match the message data.

アプリケーションメッセージから取得された文字列の数がメッセージデータと一致しないため、FormatMessage エラーが発生します。

Place call FormatMessages in __try - __except

__try - __except 内に call FormatMessages を配置します。

Run ACSupport export Event log on Win 2008 R2 (x64)

Windows 2008 R2 （x64）で ACSupport を実行して、イベントログをエクスポートします。

597

T5P7229, T5P7230

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where ac_check_debug_proc() called strstr() which causes the system to panic.

strstr() を呼び出した ac_check_debug_proc() がシステムパニックを引き起こす問題を修正しました。

AC126SP20351

Solaris Sparc, Solaris x86

This happens when the pathname struct passed to ac_check_debug_proc() has only "/proc" as its path. The pathlen is 5 and the rest of the buffer contains no 0x0 beyond the "/proc" string.

この問題は、ac_check_debug_proc() に渡された pathname 構造体に、パスとして "/proc" のみが含まれている場合に発生します。pathlen は 5 であり、残りのバッファには、"/proc" 文字列の後に 0x0 が含まれていません。

Make sure it is /proc/*/ctl.

/proc/*/ctl であることを確認します。

1805

T3E7153

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the hostname is changed to the localhost name.

ホスト名がローカルホスト名に変更される問題を修正しました。

AC126SP20357

UNIX all

The root cause of the problem is the pointer that points to a hostname is overwritten by another call. for seos.collect.audit, seaudit needs to get the hostname where the audit log is generated from. Because of this call, it overwrites the host name pointer that points the audit log's data.

この問題の根本原因は、ホスト名を指すポインタが他のコールによって上書きされるためです。seos.collect.audit のために、seaudit は監査ログの生成元であるホスト名を取得する必要があります。このコールによって、監査ログのデータを指すホスト名のポインタが上書きされます。

Please run "seaudit" on seos.collect.audit where there is hostname in the audit log. The field that for hostname will be replaced by the localhost name.

seos.collect.audit で "seaudit" を実行し、監査ログ内にホスト名が存在する場合、ホスト名のフィールドはローカルホスト名で置き換えられます。

1654

T243830

Windows Endpoint User Mode, UNIX Endpoint User Mode

Fixes an issue with ControlMinder where Devcalc reports false deviations on policies containing ACVAR.

Devcalc が ACVAR を含むポリシーで誤った偏差をレポートする問題を修正しました。

AC126SP20368

Windows all, UNIX all

The problem occurs because devcalc compares the wrong value in case the object type is ACVAR of type OSVAR.

この問題は、オブジェクトがタイプ OSVAR の ACVAR である場合、devcalc が間違った値を比較するために発生します。

1) deploy the following policy script:
er ACVAR COMPUTERNAME value(COMPUTERNAME) type(osvar)
eu <!COMPUTERNAME>kuku admin
2) In selang, run the following:
start devcalc
get devcalc
3) verify that there is deviation for COMPUTERNAME

1) 以下のポリシースクリプトをデプロイします。
er ACVAR COMPUTERNAME value(COMPUTERNAME) type(osvar)
eu <!COMPUTERNAME>kuku admin
2) selang で以下を実行します。
start devcalc
get devcalc
3) COMPUTERNAME に偏差があることを確認します。

590

T537727

Windows Endpoint User Mode, UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the Restore Host option fails in Advanced policy management.

拡張ポリシー管理でホストの復元オプションが失敗する問題を修正しました。

AC126SP20369

Windows all, UNIX all

The problem occurs because the user wants to re-deploy policie using the Restore Host option.

この問題は、ホストの復元オプションを使用してポリシーの再デプロイを試行すると発生します。

570

T4A7026

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where cron scripts produce a cmdlog core when KBL is enabled.

KBL が有効である場合に cron スクリプトが cmdlog コアを作成する問題を修正しました。

AC126SP20372

UNIX all

The problem occurs because the dynamic loader is not loadable.

この問題は、動的ローダがロード可能でないために発生します。

HP-UX KBL enabled /bin/sh script

HP-UX 上で KBL を有効にして /bin/sh スクリプトを実行

Workaround - change script's shell from /bin/sh to /sbin/sh

回避策：スクリプトのシェルを /bin/sh から /sbin/sh に変更します。

1810

TC61339

Windows Endpoint User Mode

Fixes an issue with ControlMinder where _dms user is created in regular pmdb.

標準の pmdb に _dms ユーザが作成される問題を修正しました。

AC126SP20380

Windows all

The _dms user was added for dms but regular pmdb is not filtered.

_dms ユーザが dms に追加されましたが、標準の pmdb がフィルタされていません。

The user can be manually removed.

このユーザは手動で削除できます。

creapmd PMDNAME=pmd1
selang
host pmd1@
find user

creapmd PMDNAME=pmd1
selang
host pmd1@
ユーザを検索します。

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the UNIX user/group properties groupid, gecos, shellprog, userid are not exported by dbmgr -export in ControlMinder for Windows.

ControlMinder for Windows で dbmgr -export を実行しても UNIX ユーザ/グループプロパティ groupid、gecos、shellprog、userid がエクスポートされない問題を修正しました。

AC126SP20386

Windows all

Definition of the properties were missing.

プロパティの定義が存在していませんでした。

UNIX user/group properties created in pmd native env.

pmd ネイティブ環境で作成された UNIX ユーザ/グループプロパティ

1. create pmdb
2. in the pmdb
AC> eg testgroup native(groupid(100))
AC> eu testuser native(gecos("test gecos") shellprog(/program) userid(500))
3. export the pmdb
expected result: all properties specified is exported
actual result: not exported

1. pmdb を作成します。
2. pmdb で以下を実行します。
AC> eg testgroup native(groupid(100))
AC> eu testuser native(gecos("test gecos") shellprog(/program) userid(500))
3. pmdb をエクスポートします。
正しい結果：指定したすべてのプロパティがエクスポートされます。
実際の結果：エクスポートされません。

591

T4CC205

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where after a failed login from GDM terminal, the next next login session gains the user name and acee of the failed login.

GDM 端末からのログイン失敗後に、次のログインセッションで、失敗したログインのユーザ名と ACEE が取得される問題を修正しました。

AC126SP20407

UNIX all

ControlMinder cannot detect failed GDM login, "gdm-binary" gets new acee for failed login and AC uses it in next login session.

ControlMinder は失敗した GDM ログインを検出できません。"gdm-binary" は失敗したログインの新しい ACEE を取得して、AC はそれを次のログインセッションで使用します。

GDM console access

GDM コンソールアクセス

Use PAM login event to clean flags associated for "gdm-binary" process.

PAM ログインイベントを使用して、"gdm-binary" プロセスに関連するフラグを消去します。

1. Find Linux RH 5 with console access, install and start AC
2. Define "test" user, change user's shell in /etc/passwd to /bin/false
3. Login GDM console with user "test" => login fails
4. Login GDM console with user "root"
5. run "sewhoami -a"
=> Expected: root (before fix "sewhoami" showed "test")

1. Linux RH 5 マシンにコンソールアクセスし、AC をインストールして開始します。
2. "test" ユーザを定義して、/etc/passwd でユーザのシェルを /bin/false に変更します。
3. "test" ユーザで GDM コンソールにログインします。 => ログインに失敗します。
4. "root" ユーザで GDM コンソールにログインします。
5. "sewhoami -a" を実行します。
=> 正しい結果： root （修正を適用する前は、"test" が表示されます）

1733

T3DB139, T3DB140

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where intermittent authorization deny, while DB rules allow.

DB ルールで許可されているにも関わらず、断続的な拒否が発生する問題を修正しました。

AC126SP20408

UNIX all

The problem occurs because of incorrect reference counting. The source of wrong counting was not disovered, because it requires kernel debugging.

この問題は、参照カウントが誤っているために発生します。カーネルのデバッグが必要になるため、誤ったカウントのソースは特定されていません。

Count all processes of specific ACEE and update table before deleting it.

特定の ACEE のすべてのプロセスをカウントして、削除前にテーブルを更新します。

1758

T3DB153

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where selogrcd fails to start with a specific port (ServicePort = 3000).

特定のポート（ServicePort = 3000）で selogrcd の起動に失敗する問題を修正しました。

AC126SP20409

Solaris Sparc

The problem occurs because the compatibility package(ucblib) was removed in Solaris 11.

この問題は、Solaris 11 から互換性パッケージ（ucblib）が削除されたために発生します。

specify ServicePort in seos.ini selogrcd section.

seos.ini の selogrcd セクションで ServicePort を指定

Not specify ServicePort

ServicePort を指定しない

1. set ServicePort = 30000 in seos.ini selogrcd section
2. run selogrcd
# selogrcd -d
Getting Parameters for CA Access Control Log Collector...
Setting value for [selogrd] CollectFile to /opt/CA/seos/log/seos.collect.audit
Setting value for [selogrd] CollectFileBackup to /opt/CA/seos/log/seos.collect.bak
Setting value for [logmgr] audit_group to none
Setting value for [selogrd] CBackUp_Date to NONE
Got Prameters form seos.ini file.
Warning: The selogrcd extension file does not exist
Using preassigned port from seos.ini 30000
Calling svcudp_create(fd=6)
Cannot create UDP service. svcudp_create: Bad file number

1. seos.ini の selogrcd セクションに、ServicePort = 30000 を設定します。
2. selogrcd を実行します。
# selogrcd -d
Getting Parameters for CA Access Control Log Collector...
Setting value for [selogrd] CollectFile to /opt/CA/seos/log/seos.collect.audit
Setting value for [selogrd] CollectFileBackup to /opt/CA/seos/log/seos.collect.bak
Setting value for [logmgr] audit_group to none
Setting value for [selogrd] CBackUp_Date to NONE
Got Prameters form seos.ini file.
Warning: The selogrcd extension file does not exist
Using preassigned port from seos.ini 30000
Calling svcudp_create(fd=6)
Cannot create UDP service. svcudp_create: Bad file number

1812

T4CC204

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where PACL from trusted script was not enforced after starting ControlMinder trace.

ControlMinder によるトレースを開始した後に trusted スクリプトからの PACL が適用されない問題を修正しました。

AC126SP20419

UNIX all

The problem occurs because of a wrong parent program name in the FILE CACHE in the ControlMinder kernel module.

この問題は、ControlMinder カーネルモジュール内の FILE CACHE で親プログラム名が間違っているために発生します。

Activating ControlMinder trace

ControlMinder トレースの有効化

Do not activate ControlMinder trace

ControlMinder トレースを有効にしない

1) Test on Linux X64.
2) echo "test2" >> /tmp/TEST/work/test2.txt
3) echo "Test4" > /tmp/TEST/work/test4.txt
4) Create the following two scripts:
/tmp/TEST/script/test.sh:
#!/bin/sh
cat /tmp/TEST/work/test2.txt
echo aaa > /tmp/TEST/work/test.txt
rm -f /tmp/TEST/work/test.txt
/tmp/TEST/script/test2.sh

/tmp/TEST/script/test2.sh:
#!/bin/sh
cat /tmp/TEST/work/test4.txt
echo aaa > /tmp/TEST/work/test.txt
rm -f /tmp/TEST/work/test.txt

5) AC> nf /tmp/TEST/work/* owner(nobody) defacc(chdir)audit(a)
AC> nr program /tmp/TEST/script/test.sh owner(nobody) audit(a) defacc(a)
AC> auth file /tmp/TEST/work/* uid(*) acc(a) via(pgm(/tmp/TEST/script/test.sh))
6) Start AC (seload).
7) secons -t-
8) sh /tmp/TEST/script/test.sh
9) sh -c /tmp/TEST/script/test.sh
10) . /tmp/TEST/script/test.sh
11) /tmp/TEST/script/test.sh
12) secons -tc -t
13) sh /tmp/TEST/script/test.sh
14) sh -c /tmp/TEST/script/test.sh
15) . /tmp/TEST/script/test.sh
16) /tmp/TEST/script/test.sh --> Before the fix you get an error about permission denied for test4

1) Linux X64 でテストします。
2) echo "test2" >> /tmp/TEST/work/test2.txt
3) echo "Test4" > /tmp/TEST/work/test4.txt
4) 以下の 2 つのスクリプトを作成します。
/tmp/TEST/script/test.sh:
#!/bin/sh
cat /tmp/TEST/work/test2.txt
echo aaa > /tmp/TEST/work/test.txt
rm -f /tmp/TEST/work/test.txt
/tmp/TEST/script/test2.sh

/tmp/TEST/script/test2.sh:
#!/bin/sh
cat /tmp/TEST/work/test4.txt
echo aaa > /tmp/TEST/work/test.txt
rm -f /tmp/TEST/work/test.txt

5) AC> nf /tmp/TEST/work/* owner(nobody) defacc(chdir)audit(a)
AC> nr program /tmp/TEST/script/test.sh owner(nobody) audit(a) defacc(a)
AC> auth file /tmp/TEST/work/* uid(*) acc(a) via(pgm(/tmp/TEST/script/test.sh))
6) AC を開始します（seload）。
7) secons -t-
8) sh /tmp/TEST/script/test.sh
9) sh -c /tmp/TEST/script/test.sh
10) . /tmp/TEST/script/test.sh
11) /tmp/TEST/script/test.sh
12) secons -tc -t
13) sh /tmp/TEST/script/test.sh
14) sh -c /tmp/TEST/script/test.sh
15) . /tmp/TEST/script/test.sh
16) /tmp/TEST/script/test.sh
--> 修正の適用前であれば、test4 の権限拒否に関するエラーが表示されます。

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where sewhoami shows wrong ControlMinder user.

sewhoami が間違った ControlMinder ユーザを表示する問題を修正しました。

AC126SP20420

UNIX all

ControlMinder didn't save the LOGOUT record because of incorrect acee reference count.

ACEE 参照カウントが正しくないために、ControlMinder は LOGOUT レコードを保存していませんでした。

X11 forwarding enabled

X11 フォワーディングの有効化

function handle_multilogin() triggers login on shell which does not have command parameter "-c"

関数 handle_multilogin() は、コマンドパラメータ "-c" を使用しないシェル上でのログインをトリガーします。

1733

T3DB143

Windows Endpoint User Mode

Fixes an issue with ControlMinder where dbmgr -export duplicates native user properties like country, phone, location and organization.

dbmgr -export を実行すると country、phone、location、および organization などのネイティブユーザプロパティが重複する問題を修正しました。

AC126SP20422

Windows all

Definition of the properties were missing.

プロパティの定義が存在していませんでした。

Country, phone, location and organization is defiend to a native user in pmd

pmd のネイティブユーザに country、phone、location、および organization が定義されている

Removed duplicated entry from native user propertry definition

ネイティブユーザのプロパティ定義から重複したエントリが削除されました。

1. create pmd
2. in pmd native env
nu testuser country(japan) phone(111-111-111) location(tokyo) organization(jtc)
3. export pmd
dbmgr -e -l
expected result: editusr ("testuser ") country(japan) phone(111-111-111) location(tokyo) organization(jtc)
actual result: all properties are duplicated

1. pmd を作成します。
2. pmd ネイティブ環境で以下を実行します。
nu testuser country(japan) phone(111-111-111) location(tokyo) organization(jtc)
3. pmd をエクスポートします。
dbmgr -e -l
正しい結果： editusr ("testuser ") country(japan) phone(111-111-111) location(tokyo) organization(jtc)
実際の結果：すべてのプロパティが重複しています。

591

T4CC203, T4CC205

100

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where SMF stops ControlMinder watchdog after seosd fails with core.

seosd がコアファイルを生成して終了した後に、SMF によって ControlMinder watchdog を停止する問題を修正しました。

AC126SP20423

Solaris Sparc

Both SMF and watchdog try to restart seosd. The SMF also stops all related processes including watchdog.

SMF と watchdog の両方が seosd の再起動を試行します。SMF は watchdog を含むすべての関連プロセスも停止させます。

Solaris 10 SMF in use

Solaris 10 で SMF を使用

Set manifest property to ignore service core files

サービスの core ファイルを無視するように、マニフェストのプロパティを設定します。

set "kill_ignore=yes" in seos.ini
start seosd service
# svcadm seosd enable
kill seosd process
wait and check service status
# svc -l seosd
# issec
EXPECT: the seosd is up and running

seos.ini で "kill_ignore=yes" を設定します。
seosd サービスを開始します。
# svcadm seosd enable
seosd プロセスの kill を実行します。
しばらく待ってからサービスステータスを確認します。
# svc -l seosd
# issec
正しい結果： seosd が実行中です。

101

UNAB

Fixes an issue with ControlMinder where CA license library (LIC98Dir) is not set in uxauth.ini in the WPAR environment.

WPAR 環境で CA ライセンスライブラリ（LIC98Dir）が uxauth.ini に設定されない問題を修正しました。

AC126SP20424

AIX

The problem occurs because AIX WPAR cannot write to /opt as this is a read only directory.

この問題は、/opt は読み取り専用ディレクトリであるため、AIX WPAR が /opt に書き込むことができずに発生します。

AIX WPAR UNAB install

AIX WPAR UNAB インストール

Steps to reproduce:
1. Install UNAB in global
2. Sync with wpars - syncwpar <wparname>
3. Check token 'LIC98Dir' in uxauth.ini in non-private wpars .
Actual Result : Token is not set.
Expected Result : Token is set to SharedComponents/ca_lic
NOTE : Token LIC98Dir is set correctly to /opt/CA/SharedComponents/ca_lic in global and private wpar .

再現手順：
1. グローバルで UNAB をインストールします。
2. WPAR と同期します： syncwpar <wparname>
3. 非プライベート WPAR の uxauth.ini で、トークン 'LIC98Dir' を確認します。
実際の結果：トークンは設定されていません。
正しい結果：トークンは SharedComponents/ca_lic に設定されています。
注：グローバルおよびプライベート WPAR で、トークン LIC98Dir は /opt/CA/SharedComponents/ca_lic に正しく設定されています。

1686

T540192

102

Unix Endpoint Kernel Mode

ユーザがデバイスをコピーすると ControlMinder の保護を回避できる設計上の制限を修正しました。特権ユーザ (ControlMinder 管理者ではなく) は "mknod" システムコールを使用してデバイスのコピーを作成できます。ControlMinder は直接のシステムコールを通じたデバイスへのアクセスを阻止できません。

AC126SP20426

UNIX all

ControlMinder does not check target device in syscall "mknod".

ControlMinder はシステムコール "mknod" のターゲットデバイスをチェックしません。

Usage of syscall "mknod"

システムコール "mknod" の使用

Translate device number to device name in FS, verify file protection

デバイス番号を FS のデバイス名に変換し、ファイル保護を検証します。

on Linux
1. find some disk device for tests using "df -h"
2. Note device major and minor numbers using "ls -l /dev/<your_disk>"
3. Set pattern rule like this
AC> ef /dev/sdb* defaccess(n) owner(root) audit(a)
4. Try copy this device
# mknod /tmp/my_dev b <major_num> <minor_num>
EXPECT: permission deny

Linux 上で以下の手順を実行します。
1. "df -h" を使用して、テスト用のディスクデバイスを見つけます。
2. "ls -l /dev/<your_disk>" を使用して、デバイスのメジャー番号とマイナー番号を書き留めます。
3. 以下のようなパターンルールを設定します。
AC> ef /dev/sdb* defaccess(n) owner(root) audit(a)
4. このデバイスのコピーを試行します。
# mknod /tmp/my_dev b <major_num> <minor_num>
正しい結果：権限の拒否

1773

TC61312, TC61313, TC61315, TC61316

103

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where sesu generates two surrogate audit records.

sesu により 2 つのsurrogate 監査レコードが生成される問題を修正しました。

AC126SP20431

UNIX all

The problem occurs because SEOSROUTE_AuthRequest(...) API generates one log and setuid(..) generates another log.

この問題は、SEOSROUTE_AuthRequest(...) API がログを 1 つ生成し、setuid(..) がもう 1 つのログを生成するために発生します。

1658

T243834, T243835

104

Windows Endpoint User Mode

Fixes an issue with ControlMinder where an error occurs with the Task Delegation feature.

タスクの委任機能でエラーが発生する問題を修正しました。

AC126SP20433

Windows all

The problem occurs because the Task Delegation feature is not added to the ControlMinder services list.

この問題は、タスクの委任機能が ControlMinder のサービスリストに追加されていないために発生します。

105

Windows Endpoint User Mode

Fixes an issue with ControlMinder where dbmgr does not export new properties for native users from PMDB after setting the property at PMDB.

PMDB でプロパティを設定した後に、dbmgr が PMDB からネイティブユーザの新しいプロパティをエクスポートしない問題を修正しました。

AC126SP20436

Windows all

Definition of the properties were missing.

プロパティの定義が存在していませんでした。

host pmdb@
editusr ("eacadmin") country('Japan') gecos('gecos test')
export pmdb
expected result: editusr ("eacadmin") country('Japan') gecos('gecos\ test')
actual result: editusr ("eacadmin") country('Japan') gecos(gecos\ test)

host pmdb@
editusr ("eacadmin") country('Japan') gecos('gecos test')
pmdb をエクスポートします。
正しい結果： editusr ("eacadmin") country('Japan') gecos('gecos\ test')
実際の結果： editusr ("eacadmin") country('Japan') gecos(gecos\ test)

591

T4CC205

106

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where a exit error occurs on the sepmdd load.

sepmdd のロード時に終了エラーが発生する問題を修正しました。

AC126SP20448

UNIX all

When agent exit is configured in seagent.ext, sepmdd and creapmd also try to load this shared object and causing loading error messages.

エージェントの終了が seagent.ext に設定されている場合、sepmdd および creapmd もこの共有オブジェクトをロードしようとして、ロードエラーメッセージが発生します。

Install -api package.
# ./install_base xxx.tar.Z -api
# cd /opt/CA/AccessControl/apisample/agent_exits/password_auth
# cp aes_password_auth.ext /opt/CA/AccessControl/etc/seagent.ext
# seosd
# selang
# AC>host pmdb@

you'll see error message. This is because sepmdd is also trying to password_auth.so.

-api パッケージをインストールします。
# ./install_base xxx.tar.Z -api
# cd /opt/CA/AccessControl/apisample/agent_exits/password_auth
# cp aes_password_auth.ext /opt/CA/AccessControl/etc/seagent.ext
# seosd
# selang
# AC>host pmdb@

エラーメッセージが表示されます。エラーの原因は、sepmdd も password_auth.so のロードを試行しているためです。

107

UNAB

Fixes an issue with ControlMinder where an error (Insufficient access rights) occurs when registering the UNAB host.

UNAB ホストの登録時にエラー（アクセス権限が不足）が発生する問題を修正しました。

AC126SP20449

AIX

/usr/sbin/no cannot be exectuted from a WPAR

WPAR から /usr/sbin/no を実行できません。

UNAB registration on AIX WPAR

AIX WPAR 上に UNAB を登録

solution Detect if registering from WPAR and Advise administrator to manually adjust PMTU discovery from the AIX Global Environment if it needs changing

解決策：
WPAR からの登録かどうかを検出し、変更が必要な場合、AIX グローバル環境からの PMTU 検出を手動で調整するよう管理者にアドバイスします。

1. Install UNAB in global and sync with wpars
2. Register UNAB host in global and wpars using
uxconsole -register -a Administrator -w N0tall0wed -s 10.134.5.14(ip of AD machine)
3. While registering UNAB host in wpars , the following message is displayed
CA Access Control UNAB uxconsole v12.61.0.1674 - console utility
Copyright (c) 2010 CA. All rights reserved.
no: 1485-120 Insufficient access rights

1. グローバル環境に UNAB をインストールして、WPAR と同期します。
2. 以下のコマンドを使用して、グローバル環境と WPAR に UNAB ホストを登録します。
uxconsole -register -a Administrator -w N0tall0wed -s 10.134.5.14 （AD マシンの IP）
3. WPAR に UNAB ホストを登録中に、以下のメッセージが表示されます。
CA Access Control UNAB uxconsole v12.61.0.1674 - console utility
Copyright (c) 2010 CA. All rights reserved.
no: 1485-120 Insufficient access rights

1686

T540192

108

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where file protection does not work for setuid files.

setuid ファイルに対するファイル保護が動作しない問題を修正しました。

AC126SP20458

UNIX all

The problem occurs because the setuid program seosd does not check FILE class.

この問題は、setuid プログラムに対して seosd が FILE クラスをチェックしないために発生します。

setuid program that protected by FILE rule

setuid プログラムが FILE ルールによって保護されている

1) protect setuid program from access via FILE class in selang
2) run this program -> exec is successful despite of FILE rule

1) selang で FILE クラスを使用して setuid プログラムへのアクセスを保護します。
2) setuid プログラムを実行します -> FILE ルールが設定されているにも関わらず、実行が許可されます。

109

Windows Endpoint Kernel Mode

Fixes an issue with ControlMinder where a BSOD occurs during ControlMinder shutdown.

ControlMinder のシャットダウン中に BSOD （ブルースクリーン）が発生する問題を修正しました。

AC126SP20466

Windows all

The problem occurs because ControlMinder crashed with memory corruption error in soesdrv at shutdown.

この問題は、シャットダウン時に soesdrv のメモリ破損エラーで ControlMinder がクラッシュするために発生します。

On Windows 2008 R2 x64 with verifier
Install r12.6 sp1, create generic rule for folder of files with audit(a).
Start 2-3 instances of fstress accessing the folder in cycle( for infinite time ).
Start AC start/stop cycle with 5-10 AC running period with some restarts of AC without sesodrv unload and some with seosdrv unload( net stop seosdrv ).
Test should run at least 24 hours.
Expected results, no BSODs.

Windows 2008 R2 x64 環境（Application Verifier を使用）：
r12.6 sp1 をインストールして、audit(a) を使用するファイルを含むフォルダの汎用ルールを作成します。
サイクル中に回数の制限なしにフォルダにアクセスする 2 ～3 の fstress インスタンスを開始します。
5 ～ 10 の AC を使用して AC の開始/停止サイクルを開始します。一部の AC では再起動に sesodrv unload を使用せず、他の AC では再起動に seosdrv unload を使用します（net stop seosdrv）。
テストは少なくとも 24 時間実行する必要があります。
正しい結果： BSOD （ブルースクリーン）が発生しない。

593

T5P7225

110

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where the Apache Web page refresh stalls after n times when ControlMinder streams are active.

ControlMinder ストリームがアクティブのときに Apache Web ページの更新を繰り返すと更新が停止する問題を修正しました。

AC126SP20482

HPUX PA-RISC, HPUX IA64

AC streams r/w PUT routines did too much for bypassed AC processes

バイパスされる AC プロセスに対して、AC ストリームの読み取り/書き込み PUT ルーチンが多すぎます。

Specialpgm Apache program on HPUX that was fully bypassed was stalling a bit when server requested a lot of data

HPUX 上の Specialpgm Apache プログラムが完全にバイパスされている場合、サーバが大量のデータを要求したときに一時停止する

Disable AC streams

AC ストリームを無効化します。

1813

TC61342

111

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the ReportAgent crashes with core dump on KBL raw data.

ReportAgent が KBL の raw データを解析中にコアダンプを生成してクラッシュする問題を修正しました。

AC126SP20484

LINUX all

Array bound write problem in cmdlog_extarct() where to passed recs[4].Value has been written on size 5497 while allocated on 4096. The problem occures in result replacement unprintable charactres in Data chank buffer of 1024 bytes mostly with <BELL> text expanding buffer on size beyond 4096.

cmdlog_extarct() での配列範囲の書き込み問題により、渡された recs[4].Value はサイズ 4096 上に割り当てられているにも関わらずサイズ 5497 上に書き込まれていました。問題が発生するのは、その結果、1024 バイトのデータチャンクバッファ内の印刷不可文字のほとんどが <BELL> テキストで置き換えられ、4096 を超えるサイズにバッファが拡張されるためです。

Setting MAX_KBL_DATA_SIZE to 6144.

MAX_KBL_DATA_SIZE を 6144 に設定します。

1816

T5P7232

112

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the seagent hangs while checking if the host is an NIS server.

ホストが NIS サーバであるかを確認中に seagent がハングする問題を修正しました。

AC126SP20486

Solaris Sparc

The problem occurs because the yp_master() call does not return.

この問題は、yp_master() コールが値を返さないために発生します。

NIS server is stopped (ypstop), then start ypbind on client.

NIS サーバを停止して（ypstop）、クライアント上で ypbind を開始する

At is_host_nis_server(), before calling yp_master, we will check that the host is NIS binded, by calling is_host_nis_binded().

is_host_nis_server() で、yp_master のコール前に is_host_nis_binded() をコールして、ホストが NIS にバインドされていることを確認します。

113

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the 'today date' section in the ENTM UI calendar does not provide any information.

ENTM UI カレンダの 'today date' セクションに情報が表示されない問題を修正しました。

AC126SP20491

Windows all

114

UNAB

Fixes an issue where the ControlMinder Unix Attributes tab does not appear when the filter or search operation is used within AD Users and Computers.

AD ユーザとコンピュータでフィルタまたは検索操作が使用されたときに ControlMinder Unix 属性タブが表示されない問題を修正しました。

AC126SP20492

Windows all

The problem occurs becuase of wrong use of the COM object.

この問題は、COM オブジェクトの使用が間違っているために発生します。

589

T537726

115

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where seosd hangs while syncing ControlMinder database files.

ControlMinder データベースファイルの同期中に seosd がハングする問題を修正しました。

AC126SP20493

UNIX all

The problem occurs because seosd hangs in 'fsync()' and is killed by the watchdog producing a core.

この問題は、seosd が 'fsync()' でハングし、watchdog によって kill されてコアを生成するために発生します。

1834

T52V033

116

UNAB

Fixes an issue with ControlMinder where UNAB fails to uninstall cleanly on AIX WPAR.

AIX WPAR 上で UNAB が完全にアンインストールされない問題を修正しました。

AC126SP20500

AIX

The problem occurs as the uninstall scripts are not executed.

この問題は、アンインストールスクリプトが実行されないために発生します。

Uninstalling UNAB from AIX WPAR

AIX WPAR から UNAB をアンインストールする

On AIX with WPARs
1. Install UNAB on AIX Global environment and propagate into WPAR using "syncwpar"
2. Uninstall UNAB from AIX Global environment and remove from WPAR using "syncwpar"
3. installation directory remains in WPAR

WPAR を持つ AIX 上で以下の手順を実行します。
1. AIX グローバル環境に UNAB をインストールし、 "syncwpar" を使用して WPAR に配布します。
2. AIX グローバル環境から UNAB をアンインストールし、"syncwpar" を使用して WPAR から削除します。
3. インストールディレクトリが WPAR に残ります。

1686

T540192

117

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where installation fails when the following library packages are not installed prior to ControlMinder installation: libcrypt.so.1()(64bit), libc.so.6()(64bit), libdl.so.2()(64bit), libgcc_s.so.1()(64bit), libm.so.6()(64bit), libnsl.so.1()(64bit), libpam.so.0()(64bit), libpthread.so.0()(64bit), libresolv.so.2()(64bit), libstdc .so.6()(64bit)

以下のライブラリパッケージがあらかじめインストールされていない場合に ControlMinder のインストールに失敗する問題を修正しました： libcrypt.so.1()(64bit)、libc.so.6()(64bit)、libdl.so.2()(64bit)、libgcc_s.so.1()(64bit)、libm.so.6()(64bit)、libnsl.so.1()(64bit)、libpam.so.0()(64bit)、libpthread.so.0()(64bit)、libresolv.so.2()(64bit)、libstdc .so.6()(64bit)

AC126SP20503

LINUX all

The problem occurs because installation fails when one of these libraries is missing.

この問題は、これらのライブラリの 1 つが見つからない場合にインストールが失敗するために発生します。

118

Windows Endpoint User Mode, UNIX Endpoint User Mode

Fixes an issue with ControlMinder where the following polcyfetcher error occurs: Error, failed to fetch policy status for HNODE "nodename".

以下の polcyfetcher エラーが発生する問題を修正しました： Error, failed to fetch policy status for HNODE "nodename"

AC126SP20504

Windows all, UNIX all

If no policies exist for the node(endpoint) then we return null and print the error message (Error, failed to fetch policy status for HNODE "nodename"). The error message will not read as: "No policies exist for this node as of now".

ノード（エンドポイント）にポリシーが存在しない場合、NULL が返されてエラーメッセージ（Error, failed to fetch policy status for HNODE "nodename"）が出力されます。このエラーメッセージは "No policies exist for this node as of now" である必要があります。

1. Install endpoint pointing to ENTM Server
2. Before deploying any policies from DMS to endpoint observe below error message in policyfetcher.log (it exists under <EACInstallDir>/log).
"Error, failed to fetch policy status for HNODE "nodename"".

1. ENTM Server をポイントするエンドポイントをインストールします。
2. DMS からエンドポイントにポリシーをデプロイする前に、 policyfetcher.log （<EACInstallDir>/log にあります）に以下のエラーメッセージが表示されます。
"Error, failed to fetch policy status for HNODE "nodename"".

1764

T4A5071

119

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where intermittent authorization deny, while DB rules allow.

DB ルールで許可されているにも関わらず、断続的な拒否が発生する問題を修正しました。

AC126SP20511

UNIX all

The problem occurs because of incorrect reference counting. The source of wrong counting was not disovered, because it requires kernel debugging.

This package counts really referencing processes before deleting ACEE entry. Also fork synchronization is changed to prevent exiting process before it is registered in process table.

このパッケージは、ACEE エントリの削除前に実際の参照プロセスをカウントします。プロセステーブルに登録される前にプロセスが終了しないように fork 同期も変更されました。

1758

T3DB153, T3DB144

120

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where changing the password using "segracex -user <user-name>" returns an error message.

"segracex -user <user-name>" を使用してパスワードを変更するとエラーメッセージが返される問題を修正しました。

AC126SP20512

UNIX all

The buffer size for error message is too small.

エラーメッセージのバッファサイズが小さすぎます。

segracex fails to change remote database

segracex がリモートデータベースの変更に失敗する

0. Preparation
install AC 12.6 SP1 on RHEL that can login by GDM.

start AC
# selang
AC> env pmd
AC(pmd)> createpmd PMDB admin(root) desktop(<your box>)
AC(pmd)> env config
AC(config)> er config seos.ini section(seos) token(passwd_pmd) value(PMDB@<your box>)
AC(config)> er config seos.ini section(seos) token(parent_pmd) value(PMDB@<your box>)
AC(config)> !sepmd -s PMDB <your box>
AC(config)> env AC

AC> hosts PMDB@
AC> nu pmdusr20 password(password) ### create pmdusr20 in PMDB ###
AC> hosts localhost
AC> su pmdusr20 ### confirm pmdusr20 is propagated to your box ###
AC> exit
#

1. login your box from GDM (console GUI) with root user
2. start "Terminal" and enter as follows
# date
# segracex -user pmdusr20
Then segracex window is displayed.
Enter old password for pmdusr20
Enter new password for pmdusr20
Re-enter new password for pmdusr20
expected result: Popup displays
ERROR: Login procedure failed
ERROR: Password on target does not match client's password
actual result: Then, following error message is displayed on screeen
"Error: XtCreatePopupShell requires non-NULL parent

0. 準備
GDM でログインできる RHEL 上に AC 12.6 SP1 をインストールします。

AC を開始します。
# selang
AC> env pmd
AC(pmd)> createpmd PMDB admin(root) desktop(<your box>)
AC(pmd)> env config
AC(config)> er config seos.ini section(seos) token(passwd_pmd) value(PMDB@<your box>)
AC(config)> er config seos.ini section(seos) token(parent_pmd) value(PMDB@<your box>)
AC(config)> !sepmd -s PMDB <your box>
AC(config)> env AC

AC> hosts PMDB@
AC> nu pmdusr20 password(password) ### create pmdusr20 in PMDB ###
AC> hosts localhost
AC> su pmdusr20 ### confirm pmdusr20 is propagated to your box ###
AC> exit
#

1. root ユーザで GDM （コンソール GUI）からマシンにログインします。
2. "Terminal" を起動して、以下を入力します。
# date
# segracex -user pmdusr20
segracex ウィンドウが表示されます。
pmdusr20 の古いパスワードを入力します。
pmdusr20 の新しいパスワードを入力します。
pmdusr20 の新しいパスワードを再入力します。

正しい結果：以下のポップアップが表示されます。
エラー: ログインできませんでした。
エラー: ターゲットのパスワードがクライアントのパスワードと一致しません。
実際の結果：以下のエラーメッセージが表示されます。
"Error: XtCreatePopupShell requires non-NULL parent"

121

UNAB

Fixes an issue with ControlMinder where LDAP asserts when uxpreinstall -force Utility is run.

uxpreinstall -force ユーティリティを実行すると LDAP がアサートされる問題を修正しました。

AC126SP20517

UNIX all

When uxpreinstall was executed in forced mode, it reached an area of code in uxpreinstall that normally it would not reach as by that time it would not have LDAP connections to continue with (normally, it would exit with an error message pior to that place). Forcing it to continue under such conditions required small code modificatios (implemented in this fix) to prevent calling LDAP functions since they would cause asserttion.

uxpreinstall が強制モードで実行されると、uxpreinstall 内のあるコード領域に到達します。通常は、その時点までに続行する LDAP 接続がないため、その領域に到達することはありません（通常、その領域に到達する前にエラーメッセージが表示されて終了します）。そのような状態で強制的に続行するには、コードをわずかに修正して（この修正で実装されました）、アサーションの原因となる LDAP 関数が呼び出されないようにする必要があります。

122

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where sepmdpull prints garbled messages to syslog on MB system.

sepmdpull が MB システムの syslog に文字化けしたメッセージを出力する問題を修正しました。

AC126SP20521

UNIX all

Error printed in unicode.

エラーが Unicode で出力されていました。

MB system

MB システム

1. install AC on Japanese(MB) system
2. set pmd@<localhost> to token parent_pmd
3. leave AC stopped
4. make sure syslog.conf is configured to print info level message
5. run ./lbin/sepmdpull
6. check syslog
expected result: The following messages in Japanese is not garbled
ERROR: Failed to get user identity from CA Access Control
CA Access Control is not running

1. 日本語の（MB）システムに AC をインストールします。
2. トークン parent_pmd に pmd@<localhost> を設定します。
3. AC は停止したままにしておきます。
4. syslog.conf で情報レベルのメッセージが出力されるように設定されていることを確認します。
5. ./lbin/sepmdpull を実行します。
6. syslog を確認します。
正しい結果：以下の日本語メッセージが文字化けしないで表示されます。
エラー: CA Access Control からのユーザ ID の取得に失敗しました。
CA Access Control が起動していません。

123

Windows Endpoint User Mode

Fixes an issue with ControlMinder where the Active Directory fails to enumerate the Users.

Active Directory がユーザの列挙に失敗する問題を修正しました。

AC126SP20526

Windows all

The seos Agent tries to bind to the Active Directory with the Domain controller name.

seos エージェントはドメインコントローラ名を使用して Active Directory とのバインドを試行します。

Fix code to bind to the Active Directory with the domain name instead of the Domain controller

ドメインコントローラではなくドメイン名を使用して Active Directory にバインドするようにコードが修正されました。

594

T5P7226

124

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where sesu fails after restarting sshd and a new login.

sshd を再起動して新規ログイン時に sesu が失敗する問題を修正しました。

AC126SP20527

UNIX all

The sshd daemon started from script propagating flag "trusted_script" to all child processes.

sshd デーモンがスクリプトから起動すると、"trusted_script" フラグがすべての子プロセスに伝播します。

sshd restart

sshd の再起動

Clean process flag "trusted_script" upon login.

プロセスフラグ "trusted_script" をログイン時に消去します。

Start AC
stop sshd
start ssh using /etc/init.d/sshd

AC を開始します。
sshd を停止します。
/etc/init.d/sshd を使用して ssh を開始します。

1817

T3DB145

125

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where seosd enters service maintenance mode when svcadm is disabled.

svcadm が無効である場合に seosd がサービスメンテナンスモードに入る問題を修正しました。

AC126SP20530

Solaris Sparc

script "/lib/svc/method/security-ca_ac" line CONTRACT_OF_SEOSD=`/bin/svcs -vH seosd | awk '{print $4}'` returned "1178459svc:/security/seosd:default"

スクリプト "/lib/svc/method/security-ca_ac" の行、CONTRACT_OF_SEOSD=`/bin/svcs -vH seosd | awk '{print $4}'` が "1178459svc:/security/seosd:default" を返しました。

SMF services in use

SMF サービスを使用

Use command "/bin/svcs -Ho CTID seosd" to obtain contract

コマンド "/bin/svcs -Ho CTID seosd" を使用してコントラクトを取得します

126

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where a problem occurs when using sesu/su - (without user implied root) in SUDO data.

SUDO データで sesu/su - （ユーザの暗黙の root なし）を使用したときに発生する問題を修正しました。

AC126SP20539

UNIX all

The problem occurs because of incorrect code.

この問題はコードの誤りによって発生します。

1747

127

UNAB

Fixes an issue with ControlMinder where memory leaks occur on UNAB pam module while handling local users.

ローカルユーザの処理中に UNAB pam モジュールでメモリリークが発生する問題を修正しました。

AC126SP20546

UNIX all

TC61341

128

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where installation on AIX causes the system to panic.

AIX でのインストールでシステムパニックが発生する問題を修正しました。

AC126SP20571

AIX

The problem occurs when unloading the kernel module.

この問題は、カーネルモジュールのアンロード時に発生します。

Correct the unpin calls in fini_module().

fini_module() 内の unpin コールを修正します。

1818

T3E7157

129

Unix Endpoint Kernel Mode

Fixes an issue with ControlMinder where updating times on files is not protected on AIX 6.1 TL07+.

AIX 6.1 TL07+ 上でファイルの時間更新が保護されない問題を修正しました。

AC126SP20580

AIX

The problem occurs because a new syscall utimes64() was introduced.

この問題は、新しいシステムコール utimes64() が導入されたために発生します。

AIX 6.1 TL07

Interception of utimes64() added.

utimes64() のインターセプトが追加されました。

Create a file rule for an existing file using selang:
selang> nf /tmp/testfile owner(nobody) defacc(none)
# touch /tmp/testfile
Prior to this package on AIX 6.1 TL07+, the file times will be updated.

selang を使用して、既存ファイルのファイルルールを作成します。
selang> nf /tmp/testfile owner(nobody) defacc(none)
# touch /tmp/testfile
このパッケージを AIX 6.1 TL07+ に導入する前であれば、ファイルの時間が更新されます。

1822

T47D036

130

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where LOGIN records are missing in the audit log.

監査ログに LOGIN レコードが見つからない問題を修正しました。

AC126SP20584

UNIX all

The problem occurs because of specific DB settings.

この問題は、特定の DB 設定により発生します。

1. create ADMIN user and join it to group
AC> nu test admin
AC> ng sysadmin owner(root)
AC> join test group(sysadmin)
2. create local host terminal and join it to GTERMINAL
AC> nr terminal localhost.<domain> owner(root) defaccess(r)
AC> nr GTERMINAL root-not-allowed owner(secadmin)
AC> er gterminal root-not-allowed mem+(localhost.<domain>)
3. Authorize GTERMINAL for GROUP
AC> auth gterminal root-not-allowed gid(sysadmin) access(a)
4. login test user
# ssh 0 -l test
5. Check login records in audit
# seadit -a
EXECT: <DATE> P LOGIN test 59 2 localhost SSH

1. ADMIN ユーザを作成して、グループに追加します。
AC> nu test admin
AC> ng sysadmin owner(root)
AC> join test group(sysadmin)
2. ローカルホスト端末を作成して、GTERMINAL に追加します。
AC> nr terminal localhost.<domain> owner(root) defaccess(r)
AC> nr GTERMINAL root-not-allowed owner(secadmin)
AC> er gterminal root-not-allowed mem+(localhost.<domain>)
3. GTERMINAL をグループに許可します。
AC> auth gterminal root-not-allowed gid(sysadmin) access(a)
4. test ユーザでログインします。
# ssh 0 -l test
5. 監査ログのログイン記録を確認します。
# seaudit -a
正しい結果： <DATE> P LOGIN test 59 2 localhost SSH

1819

T3DB148 (32-bit), T3DB149(64-bit)

131

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where specialpgm processes lose their permissions after restarting seosd.

seosd の再起動後に specialpgm プロセスが権限を失う問題を修正しました。

AC126SP20590

UNIX all

1) ProcServer_set_special() is not called for processes running under root and having legal parent 2) in aceemgr_DeAssociateProcWithHandle() the ACEE counter is decremented twice - first time in AC_ProcSetACEE (pid, (-1), (-1)) and second time in aceemgr_DelUserAcee(). 3) On seosd stratup the ACEE counter is incremented twice - first time in the 1st loop through processes and second time in the 2nd loop through processes. Between 1st and 2nd loops the proc table is released but ACEE counters remains untouched.

1) root 下で実行されており正当な親を持つプロセスに対して ProcServer_set_special() がコールされていません。
2) aceemgr_DeAssociateProcWithHandle() 内で、ACEE カウンタが 2 回デクリメントされます。最初は AC_ProcSetACEE (pid, (-1), (-1)) で、次は aceemgr_DelUserAcee() です。
3) seosd のスタートアップ時に ACEE カウンタが 2 回インクリメントされます。最初はプロセスの 1 回目のループで、次はプロセスの 2 回目のループです。1 回目と 2 回目のループの間に proc テーブルが解放されますが、ACEE カウンタはそのままになります。

seosd restart

seosd の再起動

1) protect file
nr file /work/pop1 audit(a) owner(nobody) defaccess(none)
2) create new seos user
nu upop owner(nobody)
3) create surrogate specialpgm
nr specialpgm /work/loopread pgmtype(surrogate) unixuid(*) seosuid(upop)
4) authorize access to the file for new user
authorize file /work/pop1 uid(upop)
5) run special pgm that accesses the protected file
/work/loopread /work/pop1
6) restart seosd

1) ファイルを保護します。
nr file /work/pop1 audit(a) owner(nobody) defaccess(none)
2) 新規 seos ユーザを作成します。
nu upop owner(nobody)
3) surrogate specialpgm を作成します。
nr specialpgm /work/loopread pgmtype(surrogate) unixuid(*) seosuid(upop)
4) 新規ユーザのファイルへのアクセス権限を付与します。
authorize file /work/pop1 uid(upop)
5) 保護されたファイルにアクセスする specialpgm を実行します。
/work/loopread /work/pop1
6) seosd を再起動します。

1823

TC61348

132

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where bypass_suid_program token is not detected in surrogate to root.

ルートの代理で bypass_suid_program トークンが検出されない問題を修正しました。

AC126SP20594

UNIX all

The problem occurs because of incorrect code.

この問題はコードの誤りによって発生します。

1820

TC61346

133

Windows Endpoint User Mode

Fixes an issue with ControlMinder on Windows where IIS process crashes when trying to implement database integration with OLEDB connection against Oracle database

OLEDB 接続を使用して Oracle データベースとのデータベース統合を実装しようとすると IIS プロセスがクラッシュするという Windows 上の ControlMinder の問題を修正しました。

AC126SP20275

Windows all

The problem was caused because of bad memory access within our OLEDBPLg instrumentqation process which is loaded by w3wp.exe IIS process.

この問題は、w3wp.exe IIS プロセスによってロードされる OLEDBPLg インストルメンテーションプロセス内の不正なメモリアクセスによって発生します。

A. Install Oracle on <Oracle-Machine-Name>
B. Create Windows EP environment on <Windows-CMEP>
a. Create an IIS environment with the following:
i . A web page connecting to an Oracle database using ‘Microsoft OLE DB Provider for Oracle’. Use the following connection string: “Provider=MSDAORA;Data Source=<Oracle-Machine-Name>;User ID=<Oracle-Account>;Password=<Oracle-Password<;Min Pool Size=10;Max Pool Size=100;"
ii. Verify data within the Oracle database could be accessed.
b. Install CM endpoint with PUPM Integration enabled.
C. Create ENTM environment:
a. Define the Oracle database as a PUPM endpoint.
b. Define the <Oracle-Account> as privileged account.
c. Define a Password Consumer of Database type where:
i . Application path could be ‘*’
ii . The <Oracle-Account > should be defined in the Privileged Accounts tab.
iii. The <Windows-CMEP> should be defined in the Hosts tab (or all Hosts)
iv . All native users should be defined in the Users tab.
D. Within the IIS web page change the password inside the connection string to ‘******’.
E. Check that the data within the database could still be access.
Observed: IIS (w3wp.exe process) crashes.

A. <Oracle-Machine-Name> 上に Oracle をインストールします。
B. <Windows-CMEP> 上に Windows EP 環境を作成します。
a. 以下の手順で IIS 環境を作成します。
i. ‘Microsoft OLE DB Provider for Oracle’を使用して、Web ページから Oracle データベースに接続します。以下の接続文字列を使用します： “Provider=MSDAORA;Data Source=<Oracle-Machine-Name>;User ID=<Oracle-Account>;Password=<Oracle-Password<;Min Pool Size=10;Max Pool Size=100;"
ii. Oracle データベース内のデータにアクセスできることを確認します。
b. PUPM 統合を有効にして CM エンドポイントをインストールします。
C. ENTM 環境を作成します。
a. Oracle データベースを PUPM エンドポイントとして定義します。
b. <Oracle-Account> を特権アカウントとして定義します。
c. データベースタイプのパスワードコンシューマを定義します。
i. アプリケーションパスは ‘*’ にできます。
ii. ［特権アカウント］タブで <Oracle-Account> を定義します。
iii. ［ホスト］タブ（または［すべてのホスト］）で <Windows-CMEP> を定義します。
iv. ［ユーザ］タブで、すべてのネイティブユーザを定義します。
D. IIS Web ページで、接続文字列内のパスワードを '******' に変更します。
E. データベース内のデータに引き続きアクセスできることを確認します。
結果： IIS （w3wp.exe プロセス）がクラッシュします。

134

UNIX Endpoint User Mode

Fixes an issue with ControlMinder where displaying large number of audit records in the Deployment Audit screen took several minutes to complete.

［デプロイメント監査］画面に多数の監査レコードを表示すると完了まで数分間かかる問題を修正しました。

AC126SP20318

UNIX all

New filter "Last Update Time" was added in Deployment Audit view

［デプロイメント監査］ビューに、新しいフィルタ「最終更新時間」が追加されました。

T5P0093