InterScan Web Security Suite 6.5 Linux Patch 2 Critical Patch 1393 公開停止のお知らせ



[公開日時: 2019年12月05日 18:00]

[更新日時: 2019年12月16日 09:00]

InterScan Web Security シリーズ Critical Patch 公開のお知らせ (2019/11/5) にて公開した、InterScan Web Security Suite 6.5 Linux Patch 2 Critical Patch 1393 を公開停止いたします。

■対象プログラム

  • InterScan Web Security Suite 6.5 Linux Patch 2 Critical Patch 1393 (以下、IWSS)

■確認されている事象

  • FTPサービス(isftpd)が異常終了し、core dumpが生成される。

InterScan Web Security Virtual Appliance 6.5 Service Pack 2 (以下、IWSVA)には影響ございません。

■事象が発生するBuild番号

  • Build番号 1382向けのデバッグモジュール
  • Build番号 1392向けのデバッグモジュール
  • Hotfix 1389
  • Hotfix 1390
  • Hotfix 1392
  • Critical Patch 1393

現在、事象を解消する修正プログラムを作成しております。
進展がありましたら本サポートニュースにてお知らせいたしますので、何卒ご理解いただけますようお願い申し上げます。
また、上記Build番号のモジュールを利用しているお客様は、修正プログラム適用までの間は軽減策を実施していただけますよう、お願い申し上げます。

■事象の原因

本事象の原因は、設定の複製処理やパターンファイルの読み込み時に、FTP検索サービス(isftpdプロセス)のファイルディスクリプタが適切に解放されないためです。
解放されなかったファイルディスクリプタが蓄積されることに起因して、プロセスがクラッシュおよびコアダンプが生成される事象が確認されております。目安として、「FTP検索サービスの起動から14日以上」経過すると、異常動作の発生の可能性が高くなります。

■FTPプロキシを利用していない場合の軽減策

FTPプロキシを利用していない場合は、以下の製品Q&Aをご参照のうえFTPサービスの停止をご検討ください。

製品Q&A:FTPサービスの停止および起動方法

■FTPプロキシを利用している場合の軽減策

毎日5:10にFTP検索サービスを再起動させるcron登録情報を設定してください。
FTPサービスを再起動することで、蓄積されたファイルディスクリプタが解放され、事象の発生を回避することが出来ます。
なおファイルディスクリプタは、急激に増加するものではございませんので、FTPサービスを再起動を実施いただく間隔は、1日1回程度で問題ございません。

  • 1. IWSSサーバへrootユーザでSSHログインします。
  • 2. 以下コマンドを実行し、cronの編集モードへ移行します。
      # crontab -e
  • 3. 以下の毎日5:10にFTP検索サービスを再起動させる内容を登録します。
      10 5 * * * /etc/iscan/S99ISftp restart > /dev/null 2>&1
  • 4. cronの編集モードを終了します。

■恒久対策

本事象を修正するCritical Patch 1396をこちらで公開しております。

その後の調査で、FTP検索サービスだけでなく、HTTP検索サービスでも設定の複製処理やパターンファイルの読み込み時にファイルディスクリプタが適切に解放されないことを確認いたしました。FTP検索サービスを使用していないお客様におかれましても、Critical Patch 1396の適用をお願いいたします。

HTTP検索サービスでは、解放されないファイルディスクリプタが蓄積して限界値に到達すると以下のような挙動が発生いたします。

  • Webサイトアクセス不可
  • 設定ファイルの読み込みの失敗
ただし、限界値に到達する危険性が高まるまで、目安として「HTTP検索サービスの起動から1年以上」の時間を要します。 一方、FTP検索サービスは「FTP検索サービスの起動から14日以上」になります。
なお、以下の手順でHTTP検索サービスを再起動することで、蓄積されたファイルディスクリプタを解放できます。

  • 1. IWSSサーバへrootユーザでSSHログインします。
  • 2. 以下のコマンドを実行します。
    # /etc/iscan/S99ISproxy restart

■製品サポート情報

ご不明な点がございましたら、弊社サポートセンターまでお問合せください。
お問合せ方法については、こちらをご確認ください。

■更新履歴

日付 更新履歴
2019/12/5 18:00本ニュースの初回公開
2019/12/5 19:10事象の原因およびFTPプロキシを利用している場合の軽減策を追記
2019/12/16 09:00恒久対策の項を追記