Comments
Description
Transcript
SA/IC/MAGシリーズ Host Checkerの検疫失敗について
2014 年 1 月 1 日 お客様各位 株式会社日立ソリューションズ ネットワークビジネス部 SA/IC/MAG シリーズ Host Checker の検疫失敗について(最終報) 拝啓 平素は Juniper 製品サポートをご利用下さいまして誠にありがとうございます。 2013 年 12 月 31 日以降、Host Checker 機能が失敗する事象が発生しており、以下にその 詳細をご案内させて頂きます。ご迷惑をおかけいたしまして誠に申し訳ございませんが、ご 理解とご協力の程、宜しくお願い申し上げます。 敬具 TSB16290 CRITICAL : SA / MAG シリーズ / IC シリーズ において、エンドポイントの日付が 2013 年 12 月 31 日、又はそれ以降である場合、Endpoint Security Assessment Plugin (ESAP)を利用して いるアンチウィルス、ファイアウォール、アンチスパイウェアの事前定義済み Host Checker ポリシーが失敗する。 対象製品: SA700, SA2000, SA2500, SA4000, SA4000 FIPS, SA4500, SA4500 FIPS, SA6000, SA6000 FIPS, SA6500, SA6500 FIPS, IC4000, IC6000, IC4500, IC6500, IC6500 FIPS, MAG2600, MAG4610, MAG6610, MAG6611 説明: 本事象は、SSL VPN と UAC の Host Checker 機能をセットで利用している場合、エンド ポイントアセスメントポリシーの失敗によって、SSL VPN と UAC セッションにユーザが サインインできなくなる可能性があります。Host Checker 機能はエンドポイントが内部リ ソースにアクセスする前に、事前定義ポリシーに従っているかどうかを確かめます。しかし、 本事象のため、Host Checker 機能はエンドポイントがコンプライアンス違反であると不正 にレポートする可能性があり、その結果 SSL VPN/UAC セッションにユーザがサインイン できなくなり、内部リソースにアクセスできなくなります。 具体的には、ユーザの PC で日付が 2013 年 12 月 31 日 0 時 0 分以降になると、ユーザは Host Checker 検証に失敗し、次のエラーメッセージ、または SSL VPN 管理者が設定した 回避メッセージを受け取ります。 "Anti-Virus software listed in security requirements is not installed" 解決策: Juniper 開発チームは本事象を修正して、ESAP2.5.1 をサポートサイトに掲載しました。 SA/IC 上にて ESAP をアップグレードしてください。Admin Guide を参照して、ESAP を アップグレードしてください。ESAP2.5.1 へのアップグレードができない場合のみ下記の 回避策を適用してください。 ※日立ソリューションズ注釈:弊社サポートサイトの SA/MAG または IC のペー ジへログインしていただき、ソフトウェアのページに ESAP のパッケージ、リリ ースノート、アップグレード手順を公開しております。 現在可能な回避策: 本事象の一時的な回避策として、影響するユーザの Host Checker 機能を無効にする(Host Checker ポリシーを無効にする)か、影響するユーザの PC の日付を 2013 年 12 月 31 日以 前にリセットするかのどちらかになります。あるいは、アンチウィルス、アンチスパイウェ ア、ファイアウォール製品のための Host Checker プロセスチェックポリシーを手動で作成 し、事前定義チェックを無効にして下さい。回避策、および本事象についてご質問がありま したら、サポートへご連絡お願い致します。 FAQ: 1. 修正は新たな ESAP パッケージになりますか? はい、Juniper Networks は本事象を解消するために、新たに ESAP パッケージ (バージョ ン番号 2.5.1)を Juniper サポートサイトでリリースします。その後、SSL VPN と UAC の 管理者はこの新たな ESAP パッケージを SA/UAC それぞれの筐体にアップデートする必要 があります。ESAP パッケージがアップデートされ、筐体で有効化することで、SA/UAC に サインインする全てのエンドユーザは、修正された Host Checker クライアントライブラリ を取得し、本事象が解消されます。 2. どの SA/UAC ソフトウェアバージョンに影響がありますか? 本事象は、全ての 7.2R1 とそれ以降の SA (SSL VPN)、および 4.2R1 とそれ以降の UAC に影響があります。7.1Rx/4.1Rx とそれ以前のリリースには影響ありません。 3. どの ESAP パッケージバージョンに影響がありますか? 本事象は、全ての ESAP 2.5.0 とそれ以前のバージョンに影響があります。 4. 本修正を適用するために、私の SA/UAC ソフトウェアバージョンをアップデートする必 要がありますか? いいえ、 ESAP 2.5.1 とそれ以降で本修正の適用を行って下さい。 基礎になっている SA/UAC ソフトウェアはアップグレードする必要はありません。 5. この問題のトリガーは何ですか? 本事象のトリガーは Host Checker クライアントライブラリのバグによるものです。 このバグは、エンドユーザの PC で日付が 2013 年 12 月 31 日 0 時 0 分以降になると発生 致します。 本事象は上記記載の修正版 ESAP を適用するまで解消されません。 6. どのタイプの Host Checker ポリシーが失敗しますか? 今回のバグは事前定義済みのアンチウィルス、ファイアウォール、アンチスパイウェア Host Checker ポリシーに影響があります。それ以外のプロセスチェック、OS チェックなどの Host Checker ポリシーは影響ありません。