Comments
Description
Transcript
McAfee Web Gateway 7.5.1 リリース ノート
リリース ノート 改訂 C McAfee Web Gateway 7.5.1 目次 このリリースについて 新機能と機能強化 解決された問題点 インストール手順 既知の問題 製品マニュアルの検索 このリリースについて この資料には、このリリースに関する重要な情報が含まれていますので、ぜひご一読いただくようお願いいたします。 ® McAfee Web Gateway (Web Gateway) バージョン 7.5.1 は限定リリースとして提供されます。 このバージョ ンでは、新機能の追加と機能強化を行い、以前のリリースに存在した問題を解決しています。 新機能と機能強化 このリリースで追加された機能と強化された機能は次のとおりです。 最新の製品リリースの新機能と機能強化を導入する前に、Web Gateway アプライアンスを実行する物理 または仮想プラットフォームのメモリーをアップグレードすることをお勧めします。 このアップグレードの詳細については、『Web Gateway インストール ガイド』の「McAfee Web Gateway のセットアップ」を参照してください。 1 SAML を使用した新しい認証方法 Web Gateway では、SAML サービス プロバイダー役割を実行することで、信頼済みの外部 ID プロバイダーを使 用した認証が可能になりました。 Web Gateway は、プロキシと認証サーバーを介してサービス プロバイダー役割 を実装します。 認証サーバーは、SAML アサーションを使用して認証済みのユーザーに Cookie を設定します。 SAML 認証方法の設定方法については、『McAfee Web Gateway 製品ガイド』の「クラウド シングル サインオン」 を参照してください。 クラウド SSO 認証の新しい設定オプション クラウド ストレージ サインオン (クラウド SSO) に汎用の SAML2 コネクターを設定すると、管理者は新しいタイ ムスタンプ オプションを使用できます。 クラウド SSO 機能の設定方法については、 『McAfee Web Gateway 製品ガイド』の「クラウド シングル サインオ ン」を参照してください。 クラウド SSO の拡張ロギング Web Gateway では、シングル サインオン要求の情報を保存する新しいプロパティと、SSO アクセス ログを生成す る新しいルール セットが追加されました。このルール セットを使用すると、保存された情報から SSO 追跡ログも 生成できます。 クラウド SSO 機能の設定方法については、 『McAfee Web Gateway 製品ガイド』の「クラウド シングル サインオ ン」を参照してください。 新しいクラウド SSO コネクター クラウド シングル サインオン (クラウド SSO) の設定で使用可能なクラウド コネクターが新たに 85 個追加され ました。 クラウド SSO コネクターの詳細については、 『McAfee Web Gateway 製品ガイド』の「クラウド シングル サイン オン」と「McAfee Web GatewaySSO カタログ」を参照してください。 送信 IP アドレスを制御する新しいプロパティ Web Gateway が Web サーバーやネクスト ホップ プロキシーとの接続に使用する送信接続のデータを記録する新 しいプロパティが追加されました。 ロギング用の新しいプロパティ: • Web Gateway が送信接続に使用する送信元 IP アドレス • Web Gateway がこれらの接続に使用する送信元ポート • Web Gateway が送信元 IP アドレスを選択するリスト 送信 IP アドレスの制御方法については、『McAfee Web Gateway 製品ガイド』の「プロキシ」を参照してくださ い。 VLAN トラフィックに対するネットワーク インターフェースの拡張機能 VLAN トラフィックを処理できるように、Web Gateway アプライアンスのネットワーク インターフェースを設定 できます。 これらのインターフェースを使用すると、IPv6 で送信される VLAN トラフィックを処理することができます。 ネットワーク インターフェースの設定に関する詳細については、 『McAfee Web Gateway 製品ガイド』の「システ ム設定」を参照してください。 2 明示的プロキシ モードで Web トラフィックを転送する新しいオプション Web Gateway が負荷分散などから受信し、宛先に転送する Web トラフィックを明示的プロキシ モードで転送でき るようになりました。 プロキシの設定方法については、『McAfee Web Gateway 製品ガイド』の「プロキシ」を参照してください。 認証プロセスでのユーザー名の処理方法の変更 SWPS (McAfee Client Proxy) 認証方法を使用した場合、Authentication.RawUserName プロパティの値が McAfee Client Proxy から提供されるユーザー名 (例: domain\user) に変更されました。 以前のバージョンと 同様に、Authentication.UserName プロパティには、ドメインまたは領域情報のないユーザー名が含まれていま す。 ® 認証の設定方法については、『McAfee Web Gateway 製品ガイド』の「認証」を参照してください。 SNMP でメモリーの使用状況をモニタリングする新しい項目 MIB (Management Information Base) に新しい項目が追加されました。これにより、SNMP プロトコルによる容 量管理が強化され、メモリー使用率の警告機能が向上しました。 新しい項目では、アプライアンスのマルウェア対策と一部のシステム機能の仮想メモリーの使用状況を使用可能な物 理メモリーや予約済みのスワップ領域と比較しながらモニタリングします。 SNMP モニタリングの詳細については、『McAfee Web Gateway 製品ガイド』の「モニタリング」を参照してくだ さい。 証明書ダウンロードの追加情報 Web Gateway のテンプレート フォルダーに保存された証明書ファイルに対するアクセス要求のヘッダーで、コン テンツ タイプを送信できるようになりました。 この情報を追加すると、証明書に表示されるページ (ブロック ページなど) のリンクを使用して証明書をダウンロー ドできます。 証明書の処理に関する詳細については、 『McAfee Web Gateway 製品ガイド』の「Web フィルタリング」を参照し てください。 HTTP 要求処理の向上 HTTP 通信の要求ヘッダーに関して、次の改善が行われました。 • HTTP 要求でコンテンツ長が繰り返し送信される場合、Web Gateway は重複する情報を無視し、要求の処理を 続行します。 • フィルタリング情報の更新で、相対 URL を使用して HTTP 要求のヘッダー内の場所を指定できます。 HTTP 要求の処理方法については、『McAfee Web Gateway 製品ガイド』の「プロキシ」を参照してください。 解決された問題点 この製品リリースでは、以下の問題が解決されています。 括弧内の番号は Bugzilla の参照番号です。 3 ネットワーク通信 • ICAP サーバーとの通信で、サーバーが使用可能であっても、1 回の要求が失敗しただけで Web Gateway で使 用不能と報告されます。 (992815) • Web Gateway が XMPP プロキシとして実行されているときに、プロトコル規則を遵守していないトラフィック により、初期化されていない接続を介して Web サーバーへのデータ送信が試行され、コア プロセスでエラーが 発生します。 (993448) • SSL で保護された ICAP 通信で要求を送信するときに、Web Gateway がプロトコルを icaps と指定します。 Symantec のネットワーク コンポーネントは広く使用されている規約に従い、接続が SSL で保護される場合で も icap を使用するため、接続エラーが発生します。 (1011054) • Web Gateway が IFP プロキシとして実行されているときに、IFP プロトコルに準拠して要求された URL だけ でなく、完全な要求ヘッダーが送信されるため、要求の処理が数回失敗します。 (1012953) • 長期間実行された接続でエラーが発生すると、フラグが正しくリセットされません。このため、コア プロセスで エラーが発生し、終了信号 11 が戻されます。 (1013944) • Web Gateway でホスト ヘッダーのない ICAP 要求を受信すると、URL.Categories プロパティの処理時に URL フィルタリングで内部エラーが発生します。 (1016815) • Web Gateway の内部サービスで専有されるため、ポート 8443 で要求を待機できません。 (1016903) • パスワードに含まれる $ 文字がエンコードされて Web サーバーに転送されるため、認証要求がブロックされま す。この問題は、ネクスト ホップ プロキシを使用する場合に発生します。 (1028038) • SSL で保護された接続で定期的な更新ファイルをダウンロードしてフィルタリング情報を更新すると、稼働中に 更新サーバーに接続しても、Web Gateway でエラーが発生します。 (1030275) • Web Gateway が SOCKS プロキシとして実行され、Web サーバー上の特定のソフトウェアに対するアクセス が許可されていると、データ ストリームが繰り返し中断します。 (1030881) • Web Gateway で使用されているドメイン接尾辞リストにないドメイン接尾辞を持つ Web サイトにアクセスで きません。 (1031803) • Web Gateway が SOCKS プロキシとして実行されていると、アプライアンスがアクセス不能になるまで接続数 と CPU の使用率が上昇します。 (1034278) Web フィルタリング • PDF ファイルに埋め込まれたファイルの形式が Web Gateway のオープナーに対応していないと、ファイルが誤 って video.mpg ファイルとして分類されます。 (625502) • バージョンの異なる Web Gateway が実行されているアプライアンスの集中管理クラスターでクォータ ルール が同期されると、コア プロセスでエラーが発生し、終了信号 6 が戻されます。 (965782) • Web Gateway で有効になっている Helix プロキシに問題があるため、リアルタイム ストリーミング データが 処理されません。 (968670) • 3 つの新しい URL 関連プロパティを保存してルールで使用できません。これらのプロパティは、エラー テンプ レートに組み込まれた場合にのみ機能します。 (1003353) • URL フィルタリングに位置情報の評価が含まれている場合、キャッシュされた情報が破棄され、要求ごとに McAfee Global Threat Intelligence (McAfee GTI) サービスによるクラウド参照が実行されるため、要求の 処理に遅延が生じます。 (1005068) ® 4 ™ • McAfee Anti-Malware Engine の更新状況がダッシュボードに表示されません。 (1009924) • ユーザー インターフェースにアクセスできないときに、内部設定ツールが開始できないというエラー メッセージ が表示されます。この問題は、無効なリスト エントリが原因で発生しています。 (1011579) • URL.Categories プロパティに既知の値が設定され、この値から Reporting.URL.Categories プロパティの値を 決定する必要がある場合でも、Reporting.URL.Categories プロパティの状態を通知するエラー メッセージが生 成されます。 (1012372) • URL.SmartMatch プロパティを使用して、要求された URL の一部とリスト内のエントリが一致するかどうか比 較すると、ダッシュで始まるエントリがすべての URL に一致します。 (1016043) • URL フィルタリング モジュールがポート番号を含むクエリーを DNS サーバーに送信すると、検索が失敗しま す。 (1017961) • ファイル オープナーが LZMA タイプのアーカイブ ファイルを誤って破損ファイルに分類します。このため、コ ア プロセスでエラーが発生し、終了信号 6 を戻します。 (1020861) • ルールで URL.Geolocation プロパティを使用してクラウド検索を無効にすると、URL カタログ リストが空にな ります。このため、リストのカテゴリに該当する URL が以降のルールでブロックされません。 (1021852) • ファイル名またはディレクトリ名にスペースが含まれていると、通過を許可すべき要求がブロックされます。 (1023366) • 応答がキャッシュに保存されないため、McAfee Global Threat Intelligence サービスを利用したマルウェア対 策フィルタリングのクエリーが URL ごとに繰り返し実行されます。 (1023834) • スキャン後に誤ってマルウェアと認識されるため、Adobe Acrobat アーカイブ ファイルのダウンロードがブロ ックされます。 (1023940) • XML アーカイブ ファイルのオープナーが Web Gateway に存在しない場合、このタイプの特定のファイルブロ ックされますが、他のファイルは正しく処理されます。 (1028174) SSL で保護された通信 • 証明機関の証明書をインポートすると、SSL クライアント コンテキストのオプションを使用して新しい証明書を 作成できません。証明書を保存すると Java エラーが発生します。 (997033) • SSL トンネル検証の設定が有効になっていると、ネクスト ホップ プロキシ経由で Web から更新データをダウン ロードできません。この設定は、ネクスト ホップ プロキシ経由で送信できない要求をトリガーします。 (1014413) • SSL で保護された通信で、証明書チェーンに誤って期限切れの証明書が含まれていると、要求がブロックされま す。中間の証明機関が使用する時間形式が正しく処理できないと、この問題が発生します。 (1019470) • いくつかの Web で、SSL CONNECT が正しく実行されず、SSL 経由のアクセスが失敗します。 (1027169) • 削除された証明書失効リストが Web Gateway で使用され、このリストの証明書が処理されるとエラー メッセ ージが表示されます。 (1027981) • 特定の Web サイトにアクセスすると、SSL スキャン エラーが発生します。 (1031636) ユーザー インターフェース • 208 個のエントリを挿入すると、静的ルートを設定するテーブルがなくなり、接続が解除されます。 (1010222) • 管理側のシステムで重大度 6 のトラップが表示されても、Web Gateway に表示される SNMP モニタリングの 説明テキストにこの重大度が表示されません。 (1012051) • Web Gateway の新しいバージョンをアップグレードすると、一部のアラートがダッシュボードに誤って繰り返 し表示されます。 (1012254) • スケジュール ジョブが成功または失敗したときに、間違ったインシデント ID がダッシュボードに表示されます。 (1013435) 5 • 集中管理の追加ノードを設定するときに、ダイアログ ボックスでポートを指定できません。 (1030779) • Web Gateway のアップグレード時に、移行コードがトリガーされず、ユーザー インターフェースにアクセスで きなくなります。 (1031212) その他 • 文字変換に問題があるため、Data Loss Prevention (DLP) のルールを処理するテキストの検索で、ロシア文字 を含む単語を使用できません。 (985776) • ポリシーの複数のインスタンスを読み込んで保存すると、メモリーの使用率が上昇します。これにより、コア プ ロセスでエラーが発生し、終了信号 6 を戻します。 (985923) • 有効期間が過ぎると、PDStorage ユーザー マップのエントリが正しく削除されません。ルールで PDStorage.Cleanup イベントが使用されていても同様の問題が発生します。 (1003320) • Web Gateway に CVE-2014-6271、CVE-2014-7169、CVE-2014-7186、CVE-2014-7187 の bash シェ ルの脆弱性が存在します。 この脆弱性が悪用されると、環境変数の値で任意のコードが実行されます。 (1009816) • ファイルの読み取りに問題があるため、コア プロセスでエラーが発生し、終了信号 11 を戻します。 (1010432) • ライセンスの問題が原因でアプライアンスのコア プロセスでエラーが発生し、Web トラフィックの処理を停止し ます。エラーの発生後、他のアプライアンスが Web トラフィックの処理を継続します。 (1014292) • 接続の問題でスケジュール ジョブで新しいバージョンの proxy.pac ファイルのダウンロードに失敗すると、既 存のバージョンのファイルが空のファイルで上書きされます。 (1015284) • 重大な状況を通知しない電源制限通知がシステム コンソールに繰り返し表示され、Syslog に書き込まれます。 (1018504) • PDF ファイルをダウンロードすると、コア プロセスの子プロセスでエラーが発生し、終了信号 11 を戻します。 (1020267) • プライバシーを保護するため、処理の続行前に要求から via ヘッダーを削除するライブラリ ルール セットを使 用しても、外部ヘッダーしか削除されません。 (1020446) • 内部問題でコア プロセスでエラーが発生し、終了信号 11 を戻します。この問題は、ルール追跡でマップの作成 中に発生します。 (1020521) • ユーザー定義プロパティとしてルールで使用するために空のリストを作成すると、リストが正しく処理されず、 ルールの保存に失敗します。 (1027711) • バージョンのアップグレード中に Web Gateway をシャットダウンすると、コア プロセスでエラーが発生し、 終了信号 11 を戻します。 (1029828) • ローテーション後にログ ファイルを GZIP で圧縮すると、他の作業中のスレッドがブロックされ、圧縮スレッド の完了待ちになります。 (1030598) • Web Gateway に CVE-2015-0235 の脆弱性が存在します。この問題は、glibc の DNS 参照解決部分に存在し ます。 (1037024) 調査の結果、Web Gateway に対する攻撃ベクトルは確認できませんでした。これは、Web Gateway が異なる方 法で DNS 参照を実装しているためです。ただし、Web Gateway では Helix Streaming Proxy などのサードパ ーティ製品が使用され、これらの製品が脆弱性の影響を受ける可能性があるため、修正を実装しました。 6 インストール手順 Web Gateway 7.5.1 をアプライアンスにインストールする場合、現在実行しているバージョンによってインストー ル要件が異なります。 • • • 7.5.x より前のバージョンの場合、新しいバージョンにアップグレードできます。 「7.3.x 以降からアップグレ ードする」を参照してください。 バージョン 7.3.x または 7.4.x の場合、リポジトリの登録後に新しいバージョンにアップグレードできます。 「7.3.x 以降からアップグレードする」を参照してください。 バージョン 7.2.x または 7.x より前のバージョンを実行している場合: • 構成のバックアップを作成します。 ユーザー インターフェースで [トラブルシューティング ] 、 [バックアップ/復元] の順に移動し、オプショ ンを選択してバックアップを作成します。 • 新しいバージョンへアップグレードします。 「7.2.x または 7.x より前のバージョンからアップグレードす る」を参照してください。 アップグレード プロセスでは、オペレーティング システムもアップグレードされます。このため、通常より 時間がかかります。 アップグレード プロセスが失敗または中断した場合には、新しいバージョンのイメージを使用してアプライ アンスを再イメージ化するか、構成のバックアップをインストールできます。 あるいは、次の操作を行います。 • • 構成のバックアップを作成します。 • 新しいバージョンのイメージを使用してアプライアンスを再イメージ化し、構成のバックアップをインストー ルします。 バージョン 6.8.x または 6.9.x を実行している場合には、新しいバージョンのイメージを使用してアプライアン スを再イメージ化する必要があります。 McAfee Content & Cloud Security ポータルのダウンロード ページ (https://contentsecurity.mcafee.com/ software_mwg7_download) から、新しいバージョンのイメージをダウンロードします。 再イメージ化の詳細については、『McAfee Web Gateway 製品ガイド』を参照してください。 7.3.x 以降からアップグレードする バージョン 7.5.x の場合、新しいバージョンにすぐにアップグレードできます。 バージョン 7.4.x または 7.3.x の 場合、アップグレード前にリポジトリを有効にする必要があります。 システム コンソールからまたはユーザー インターフェースでアップグレードを実行できます。 リポジトリを登録する バージョン 7.3.x または 7.4.x からアップグレードする前に、新しいバージョンのリポジトリを登録します。 リポジトリの登録は、アプライアンスにシステム コンソールを直接接続してローカルで行うことも、SSH 経由でリ モートから行うこともできます。 タスク 1 アップグレードするアプライアンスにログオンします。 2 次のコマンドを実行します。 mwg-switch-repo 7.5.1 7 ユーザー インターフェースまたはシステム コンソールから新しいバージョンにアップグレードできます。 ユーザー インターフェースでアップグレードを実行する アップグレードを実行するときに、ユーザー インターフェースのオプションを使用できます。 タスク 1 [構成 ] 、 [アプライアンス] の順に選択します。 2 アプライアンス ツリーで、アップグレードを実行するアプライアンスを選択します。 タブの右上隅にアプライアンス ツールバーが表示されます。 3 [アプライアンス ソフトウェアの更新] をクリックします。 新しいバージョンへのアップグレードが実行されます。 アップグレード プロセスの途中でユーザー インターフ ェースから自動的にログオフします。 4 アップグレードの完了を通知するメッセージが表示されたら、次の処理を行います。 a ユーザー インターフェースに再度ログオンします。 b [設定] 、 [アプライアンス]の順に選択して、アプライアンスを選択します。 c アプライアンスのツールバーで [再起動] をクリックします。 再起動の完了後にユーザー インターフェースにログオンすると、新しいバージョンを使用できます。 システム コンソールからアップグレードする アプライアンスにシステム コンソールを直接接続してローカルで使用することも、SSH 経由でリモートから操作す ることもできます。 タスク 1 2 アップグレードするアプライアンスにログオンします。 次の 2 つのコマンドを使用します。 yum upgrade yum yum upgrade 新しいバージョンへのアップグレードが実行されます。 3 アップグレードの完了を通知するメッセージが表示されたら、次のコマンドを実行します。 reboot 再起動が完了すると、ログオン プロンプトが表示されます。ユーザー インターフェースにログオンすると、新しい バージョンを使用できます。 7.2.x または 7.x より前からアップグレードする バージョン 7.2.x または 7.x より前のバージョンを実行している場合には、システム コンソールを使用して新しい バージョンにアップグレードします。 アプライアンスにシステム コンソールを接続してローカルで使用することも、SSH 経由でリモートから操作するこ ともできます。 8 タスク 1 アップグレードするアプライアンスにログオンします。 2 次の 2 つのコマンドを使用します。 yum upgrade yum yumconf\* mwg-dist-upgrade 7.5.1 新しいバージョンに 2 段階でアップグレードされます。 各段階が完了すると、アプライアンスが自動的に再起動 します。 3 次のいずれかの方法で、インストールを完了します。 • ローカルのシステム コンソールを使用している場合: 2 回目の再起動が完了すると、ログオン プロンプトが表示されます。ユーザー インターフェースにログオン すると、新しいバージョンを使用できます。 • SSH を使用している場合: アップグレードの最初の段階が終了してアプライアンスが再起動すると、アプライアンスから切断され、次の 段階が開始します。この段階が完了し、アプライアンスが自動的に再起動すると、ユーザー インターフェー スにログオンして新しいバージョンを使用できます。 2 番目の段階が完了する前にログオンすると、この段階がまだ実行中であることを通知するメッセージが表示 されます。 この段階の最後にアプライアンスが再起動すると、アプライアンスから切断されます。 新しいバ ージョンを使用するには、再度ログオンする必要があります。 次のコマンドを実行すると、アップグレード プロセスに関するメッセージを表示できます。 tail -F /opt/mwg/log/update/mlos2.upgrade.log アップグレードが完了したら、Ctrl キーと C を押して、モニタリング プロセスを停止します。ユーザー イ ンターフェースにログオンすると、新しいバージョンを使用できます。 既知の問題 このリリースで確認されている既知の問題については、McAfee Knowledge Center の記事 KB82983 を参照して ください。 製品マニュアルの検索 製品のリリース後は、McAfee のオンライン ナレッジセンターに製品情報が掲載されます。 タスク 1 McAfee ServicePortal (http://support.mcafee.com) で、[Knowledge Center] タブに移動します。 2 [KnowledgeBase] ペインで、コンテンツのソースをクリックします。 • [Product Documentation] をクリックして、ユーザー マニュアルを検索します。 • [Technical Articles] をクリックして、KnowledgeBase の記事を検索します。 9 3 [Do not clear my filters] を選択します。 4 製品名を入力してバージョンを選択し、[Search] をクリックします。マニュアルの一覧が表示されます。 製品マニュアル McAfee 製品には、総合的なドキュメント セットが用意されています。Web Gateway では、次のドキュメントが 用意されています。 • 『McAfee Web Gateway 製品ガイド』 - Web Gateway の特徴と機能、製品の概要、製品の設定と保守の手順 について詳しく説明します。 • 『McAfee Web Gateway インストール ガイド』 - Web Gateway のセットアップ方法について説明します。 この製品と一緒に使用可能なデバイスについても説明します。 • 『McAfee Web Gateway クイック スタート ガイド』- ハードウェア プラットフォームにアプライアンス ソフ トウェアがプリインストールされている Web Gateway のセットアップ方法を簡単に説明しています。 ハードウェアにソフトウェアがプリインストールされているバージョンの場合、このガイドは印刷物として提供 されます。 Web Gateway バージョン 7.5.1 の場合、ソフトウェアはプリインストールされていません。 Copyright © 2015 McAfee, Inc. www.intelsecurity.com Intel および Intel のロゴは、Intel Corporation における登録商標です。McAfee および McAfee のロゴは、McAfee, Inc. における登録商標です。 その他すべての登録商標および商標はそれぞれの所有者に帰属します。 C16