まっちゃだいふくの日記

セキュリティのこと、ITの気になった記事をリンクしています。

InterScan Web Security Suite 6.5 Linux Patch 2 Critical Patch 1393 公開停止のお知らせ:サポート情報 : トレンドマイクロ@ isftpdプロセスのファイルディスクリプタが適切に解放されない事象が発生とのこと、修正プログラム準備中とのこと

InterScan Web Security Suite 6.5 Linux Patch 2 Critical Patch 1393 公開停止のお知らせ:サポート情報 : トレンドマイクロ

InterScan Web Security シリーズ Critical Patch 公開のお知らせ (2019/11/5) にて公開した、InterScan Web Security Suite 6.5 Linux Patch 2 Critical Patch 1393 を公開停止いたします。
■対象プログラム

InterScan Web Security Suite 6.5 Linux Patch 2 Critical Patch 1393 (以下、IWSS)
■確認されている事象

FTPサービス(isftpd)が異常終了し、core dumpが生成される。
InterScan Web Security Virtual Appliance 6.5 Service Pack 2 (以下、IWSVA)には影響ございません。

■事象が発生するBuild番号

Build番号 1382向けのデバッグモジュール
Build番号 1392向けのデバッグモジュール
Hotfix 1389
Hotfix 1390
Hotfix 1392
Critical Patch 1393
現在、事象を解消する修正プログラムを作成しております。
進展がありましたら本サポートニュースにてお知らせいたしますので、何卒ご理解いただけますようお願い申し上げます。
また、上記Build番号のモジュールを利用しているお客様は、修正プログラム適用までの間は軽減策を実施していただけますよう、お願い申し上げます。

■事象の原因

本事象の原因は、設定の複製処理やパターンファイルの読み込み時に、FTP検索サービス(isftpdプロセス)のファイルディスクリプタが適切に解放されないためです。
解放されなかったファイルディスクリプタが蓄積されることに起因して、プロセスがクラッシュおよびコアダンプが生成される事象が確認されております。目安として、「FTP検索サービスの起動から14日以上」経過すると、異常動作の発生の可能性が高くなります。

FTPプロキシを利用していない場合の軽減策

FTPプロキシを利用していない場合は、以下の製品Q&Aをご参照のうえFTPサービスの停止をご検討ください。

製品Q&A:FTPサービスの停止および起動方法

FTPプロキシを利用している場合の軽減策

毎日5:10にFTP検索サービスを再起動させるcron登録情報を設定してください。
FTPサービスを再起動することで、蓄積されたファイルディスクリプタが解放され、事象の発生を回避することが出来ます。
なおファイルディスクリプタは、急激に増加するものではございませんので、FTPサービスを再起動を実施いただく間隔は、1日1回程度で問題ございません。

1. IWSSサーバへrootユーザでSSHログインします。
2. 以下コマンドを実行し、cronの編集モードへ移行します。
  # crontab -e
3. 以下の毎日5:10にFTP検索サービスを再起動させる内容を登録します。
  10 5 * * * /etc/iscan/S99ISftp restart > /dev/null 2>&1
4. cronの編集モードを終了します。
■恒久対策

本事象を修正するCritical Patch 1396をこちらで公開しております。

その後の調査で、FTP検索サービスだけでなく、HTTP検索サービスでも設定の複製処理やパターンファイルの読み込み時にファイルディスクリプタが適切に解放されないことを確認いたしました。FTP検索サービスを使用していないお客様におかれましても、Critical Patch 1396の適用をお願いいたします。

HTTP検索サービスでは、解放されないファイルディスクリプタが蓄積して限界値に到達すると以下のような挙動が発生いたします。

Webサイトアクセス不可
設定ファイルの読み込みの失敗
ただし、限界値に到達する危険性が高まるまで、目安として「HTTP検索サービスの起動から1年以上」の時間を要します。 一方、FTP検索サービスは「FTP検索サービスの起動から14日以上」になります。
なお、以下の手順でHTTP検索サービスを再起動することで、蓄積されたファイルディスクリプタを解放できます。

1. IWSSサーバへrootユーザでSSHログインします。
2. 以下のコマンドを実行します。
# /etc/iscan/S99ISproxy restart

サポート情報 : トレンドマイクロ

つくりながら学ぶ!  Pythonセキュリティプログラミング

つくりながら学ぶ! Pythonセキュリティプログラミング