InterScan Web Security Suite 6.5 Linux 版 Patch 3 公開のお知らせ:サポート情報 : トレンドマイクロ
InterScan Web Security Suite 6.5 Linux 版 Patch 3を下記にて公開いたします。
■公開開始日
2022年6月22日(水)■Patch 3未満からの主な変更点
追加された新機能はございません。以下のような機能変更または機能改善が行われております。 主な変更点は以下の通りです。サポートOSとして、新たにRedHat Enterprise Linux 8を追加
InterScan Web Security Suite Virtual Appliance 6.5 Service Pack 2またはService Pack 3の設定バックアップのリストアをサポート
URLフィルタ機能において、最新のURLカテゴリもサポートするよう改善
詳細に関しては、 付属の Readmeファイルをご覧ください。
■入手方法
本製品は次のページからダウンロードできます。
「 最新版ダウンロードページ : InterScan Web Security Suite 6.5」
■導入手順
付属の インストールガイド、または Readmeファイルをご参照ください。あわせて、以下の製品Q&Aをご参照ください。
InterScan Web Security Suite 6.5 Linux版 Patch 3について
サポート情報 : トレンドマイクロ
2. 修正される内容
=================
注意: 本リリースをインストール後に、本セクションに「手順」が含まれる場合には
「手順」を実行してください (インストールについては、「5.1 インストール
手順」を参照してください)。
2.1 新機能
==========
本リリースでの変更点は以下の通りです。
変更点1:
HTTPサービス (IWSSD) の機能強化 – appdデーモンが削除され、関連する機能が
IWSSDに移行されます。これには、アプリケーション制御、帯域幅制御、帯域幅に
関連したダッシュボード/ログ/レポートの機能が含まれます。appdデーモンとカー
ネル間の競合の問題も解決され、システムの安定性が向上します。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
変更点2:
機能強化 – WMI (Windows Management Instrumentation)、DCエージェント、
およびJavaアプレット/ActiveXの機能が削除されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
変更点3:
Webコンソールの機能強化 – WebコンソールへのアクセスでHTTPおよびHTTPS TLS
1.0/1.1プロトコルがサポートされないようになり、製品のセキュリティが強化さ
れます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
変更点4:
URLカテゴリの機能強化 – InterScan Web Security Virtual Applianceで、「安全
でないIoT機器の接続」や「情報不足」といった新しいURLカテゴリがサポートされ
るようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
変更点5:
設定のバックアップ/復元 - 次の設定バックアップパッケージがサポートされるよ
うになります。
最新のPatchを適用したIWSVA 6.5 Service Pack2、IWSVA 6.5 Service Pack3、
IWSS 6.5 Linux版Patch2、IWSS 6.5 Linux版Patch 3
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
変更点6:
脆弱性の問題の修正とセキュリティ強化 - IWSSで使用しているサードパーティ製
モジュールがバージョンアップされます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
変更点7:
Red Hat Enterprise Linux 8.1、8.2、および8.4がサポートされるようになりま
す。これらのOSにIWSS 6.5 Patch 3を導入する場合、Patch 3インストール
パッケージを使用しての新規インストールが必要です。
2.2 本リリースで修正される既知の問題
====================================
本リリースでは、次の問題が修正されます。
本リリースで修正される内容について、次の形式で記載します。
------------------------------------------------
問題: (HotFixファイル名)(社内管理用番号)
問題の内容
修正:
修正の内容
手順:
手順の内容
------------------------------------------------
問題1: [HotFix 1436](N/A)
「/var/iwss/https/certstore/new_default_ca/default.cer」証明書の有効期限が
まもなく終了する問題
修正1:
本リリースの適用後は、有効期限が終了する証明書が新しい証明書に置き換えられ
ます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題2: [HotFix 1435](SEG-118888)
IWSS 6.5でTrend Micro Apex Centralがサポートされない問題
修正2:
本リリースの適用後は、MCPライブラリがアップデートされ、この問題が修正され
ます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題3: [HotFix 1434](SEG-117357)
IWSSがタイムゾーン情報を取得できず、ログをアンロードできないことがある問題
修正3:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題4: [HotFix 1433](SEG-116587), (SEG-117460)
HotFixのインストール中、そのHotFixが新しい証明書で署名されていると、証明書
チェーンの検証に失敗することがある問題
修正4:
本リリースの適用後は、証明書チェーンの確認プロセスがアップデートされ、新し
い証明書がサポートされるようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題5: [HotFix 1432](VRTS-6027)
IWSSのキャプティブポータルが反射型クロスサイトスクリプティング (XSS) の
脆弱性の影響を受ける問題
修正5:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題6: [HotFix 1427](VRTS-3257)
IWSSがクロスサイトスクリプティング (XSS) の脆弱性の影響を受ける問題
修正6:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題7: [HotFix 1427](VRTS-3552)
IWSSがクロスサイトリクエストフォージェリ (CSRF) の脆弱性の影響を受ける問題
修正7:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題8: [HotFix 1427](VRTS-3554)
IWSS Webコンソールが認証バイパスの脆弱性の影響を受ける問題
修正8:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題9: [HotFix 1427](VRTS-3555)
一部の特殊なIPアドレス形式が認証チェックをバイパスする問題
修正9:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題10: [HotFix 1427](VRTS-3556)
HotFixまたはPatchを適用する際にIWSSでコード認証が実行されない問題
修正10:
本リリースの適用後は、HotFixおよびPatchのインストールに対するコード認証
メカニズムが追加されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題11: [Critical Patch 1424](VRTS-4834), (VRTS-4903)
IWSSの高度な脅威検索エンジン/ウイルス検索エンジンが、メモリの枯渇による
サービス拒否の脆弱性の影響を受けることがある問題
修正11:
本リリースの適用後は、高度な脅威検索エンジン/ウイルス検索エンジンが
バージョンアップされ、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題12: [HotFix 1422](VRTS-5103)
アップデートモジュールが任意のファイルアップロードとリモートコード実行の
脆弱性の影響を受ける問題
修正12:
本リリースの適用後は、アップデートモジュールがアップデートされ、この問題が
修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題13: [N/A](SEG-95842)
Red Hat Enterprise Linux 7.XでIWSS 6.5をTrend Micro Apex Central 2019に
登録できない問題
修正13:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題14: [HotFix 1421](VRTS-5308), (VRTS-5311)
IWSSが認証されたコマンドインジェクションの脆弱性の影響を受ける問題
修正14:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題15: [N/A](VRTS-5302), (VRTS-5305)
IWSSがリモートスタックバッファオーバーフローの脆弱性の影響を受ける問題
修正15:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題16: [N/A](SEG-91332)
IWSSで「CM.yyyymmdd.xxxx」ログファイルが自動的にローテーションされず、
ファイルのサイズが非常に大きくなる問題
修正16:
本リリースの適用後は、指定されたサイズに達するたびに、「CM.yyyymmdd.xxxx」
ログファイルがローテーションされるようになります。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題17: [HotFix 1419](SEG-89342)
チャンク転送エンコーディングにより、IWSSを介してWebサーバからファイルをダ
ウンロードできない問題
修正17:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題18: [HotFix 1418](SEG-87249)
まれに、S99reverseproxyスクリプトでnginxバイナリを停止できないことがある
問題
修正18:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題19: (SEG-87221)
カテゴリ関連レポートを正しく生成できず、情報が何も表示されないことがある
問題
修正19:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題20: [Critical Patch 1415](VRTS-4213)
IWSSが認証されたコマンドインジェクションの脆弱性の影響を受ける問題
修正20:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題21: [N/A](VRTS-4256), (VRTS-4260)
IWSSが認証バイパスの脆弱性およびディレクトリトラバーサルによる情報流出の
脆弱性の影響を受ける問題
修正21:
本リリースの適用後は、この問題が修正されます。
注意: 修正の一環として、IWSSサーバがfirewalldまたはiptablesを使用して
「TCP:8983」ポートへのリモートアクセスをブロックできることを確認して
ください。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題22: [N/A](VRTS-4261)
IWSSがクロスサイトスクリプティングの脆弱性の影響を受ける問題
修正22:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題23: [HotFix 1414](SEG-80349)
IWSSがHTTPSクライアントとTLS/SSLセッションを確立する際、HTTPS復号機能が
暗号化スイートを処理できないことがある問題
修正23:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題24: [HotFix 1399](SEG-70096)
IWSSでは2048ビットキーの再署名証明書を作成できないため、iOS 13またはmacOS
10.15を実行しているAppleデバイスでHTTPS復号機能を実行できない問題
修正24:
本リリースの適用後は、この問題が修正され、新しい初期設定の証明書 (CA)
(SHA256/2048ビット) が「/var/iwss/https/certstore/new_default_ca」に保存さ
れます。
注意: RSAの長さを2048ビットに変更するとキー長が長くなるため、多くのHTTPS
サイトを同時に復号する際、より多くのCPUコアが必要になることがあり
ます。
その場合はCPUコア数を3倍にすることをお勧めします。
手順24: この機能を有効化するには、次の手順に従ってください。
1. 本リリースをインストールします (「5.1 インストール手順」を参照)。
2. IWSSのLinuxコンソールにrootユーザとしてログインします。
3. 次のコマンドを実行して、すべてのIWSSサービスを停止します。
/etc/iscan/rcIwss stop
4. 次のコマンドを実行して、現在の再署名証明書のキャッシュを削除します。
cd /var/iwss/https/certstore/cache/
rm -f resigned_cert
5. /etc/iscan/intscan.iniの [https-scanning] セクションで
「rsa_length=2048」を変更します。
6. 次のコマンドを実行して、すべてのIWSSサービスを再起動します。
/etc/iscan/rcIwss start
新しい初期設定の2048ビットCAを使用するには、次の手順に従ってください。
1. 本リリースをインストールします (「5.1 インストール手順」を参照)。
2. IWSSのLinuxコンソールにrootユーザとしてログインします。
3. 次のコマンドを実行して、すべてのIWSSサービスを停止します。
/etc/iscan/rcIwss stop
4. 次のコマンドを実行して、新しいCAファイルをコピーします。
cd /var/iwss/https/certstore/new_default_ca
cp default.cer ../https_ca/default.cer
cp default_key.cer ../https_ca/default_key.cer
cp .default.passphrase
../https_ca/.default.passphrase
5. 次のコマンドを実行して、現在の再署名証明書のキャッシュを削除します。
cd /var/iwss/https/certstore/cache/
rm -f resigned_cert
6. 次のコマンドを実行して、すべてのIWSSサービスを再起動します。
/etc/iscan/rcIwss start
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題25: [N/A](SEG-68369)
Red Hat Enterprise Linux 7.7でIWSS 6.5をTrend Micro Apex Central 2019に
登録できない問題
修正25:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題26: [HotFix 1397](SEG-65140)
Red Hat Enterprise Linux 7.7でIWSS 6.5をTrend Micro Apex Central 2019に
登録できない問題
修正26:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題27: [Critical Patch 1396](SEG-65319)
HotFix 1389以降を適用した後、FTP検索デーモンとHTTP検索デーモンでファイル
ディスクリプタリークが発生する問題
修正27:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題28: [Critical Patch 1393](SEG-63144)
iwssdがDNS TTL情報を処理する際に異常終了し、次の事象を引き起こす問題
- Webアクセスの失敗/遅延
- iwssdのコアダンプの大量発生
修正28:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題29: [HotFix 1392](SEG-59715)
「/var/iwss/commonldap/LdapSetting.ini」ファイルで「IsPreferBDN」が「yes」
に設定されている場合、次の現象が発生する問題
- 管理コンソールの [ログ]→[インターネットアクセス] 画面にユーザ名が表示さ
れない
- ユーザアカウントがIWSSのプロキシ認証を通過する場合でも、「ユーザ」を条件
とするURLフィルタポリシーが機能しない
修正29:
本リリースの適用後は、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題30: [HotFix 1390](SEG-52240)
詳細認証が有効な場合、IWSS Webコンソールの [ユーザの識別] にアクセスしよう
とすると「HTTP 500」エラーが発生する問題
修正30:
本リリースの適用後は、関連する内部ロジックがアップデートされ、この問題が
修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題31: [HotFix 1389](SEG-50033)
「IWSSPIProtocolHttpProxy.pni」の「enable_sync_dns_ttl」が「yes」に設定さ
れている場合、DNSサフィックスが予期した通りに機能しない問題
修正31:
本リリースの適用後は、「IWSSPIProtocolHttpProxy.pni」に
「uncached_host_list」が追加され、ドメインを解決する際、このリストに含まれ
る各ドメインの末尾にDNSサフィックスが自動的に追加されるようになり、この
問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題32: [N/A](SEG-56627)
[管理]→[一般設定]→[Control Managerへの登録] 画面で、パスワードを変更せず
IWSSのTrend Micro Control Managerへの登録および登録解除を繰り返すと、次の
メッセージが表示されて登録に失敗する問題
「パスワードには4~32文字の英数字を使用できます。」
修正32:
本リリースの適用後は、IWSS Webコンソールで初期設定のパスワードが繰り返し
暗号化されないようになり、この問題が修正されます。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
問題33: [HotFix 1384](SEG-44116)
ICAPモードで、特定のICAP要求がインターネットアクセスログに表示されないこと
がある問題
修正33:
本リリースの適用後は、この問題が修正されます。
