トレンドマイクロ株式会社
2021年05月12日
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Trend Micro(TM) InterScan Web Security Suite 6.5 - Patch 2
Japanese - Linux - 64 Bits
Critical Patch - ビルド 1427
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
本ドキュメントは、 Trend Micro InterScan Web Security Suite (以下、
InterScan Web Security Suite) Critical Patchの使用上の注意点などを記載し
たReadmeです。
本製品をご利用になる前に、必ずご一読ください。
製品の最新情報については、弊社ホームページをご覧ください。
URL: https://www.trendmicro.com
本製品をご利用になる前に
========================================================================
プログラムの仕様は予告なしに変更される場合があります。あらかじめご了承
ください。また、本製品をご利用いただく前に、使用許諾契約に同意して
いただく必要があります。
========================================================================
目次
================================================================
1. はじめに
1.1 修正される問題
1.2 新機能
1.3 ファイル一覧
2. ドキュメント
3. システム要件
4. インストール/アンインストール
4.1 インストール手順
4.2 アンインストール手順
5. 設定
6. 既知の制限事項
7. リリース履歴
================================================================
1. はじめに
========================================================================
注意: 本リリースをインストール後に、本セクションに「手順」が含まれる
場合には「手順」を実行してください (インストールについては、「4.1
インストール手順」を参照してください)。
1.1 修正される問題
====================================================================
本リリースは、 次の各問題を修正します。
(VRTS-3257),
問題 1: InterScan Web Security Suiteがクロスサイトスクリプティング
(XSS) の脆弱性の影響を受ける問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本リリースの適用後は、この問題が修正されます。
(VRTS-3552),
問題 2: InterScan Web Security Suiteが
クロスサイトリクエストフォージェリ (CSRF) の脆弱性の影響を
受ける問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 2: 本リリースの適用後は、この問題が修正されます。
(VRTS-3554),
問題 3: IWSS Webコンソールが認証バイパスの脆弱性の影響を受ける問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 3: 本リリースの適用後は、この問題が修正されます。
(VRTS-3555),
問題 4: 一部のIPアドレス形式が認証チェックをバイパスする問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 4: 本リリースの適用後は、この問題が修正されます。
(VRTS-3556),
問題 5: InterScan Web Security SuiteにHotFixまたはPatchを適用する際
、コード認証が行われない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 5: 本リリースの適用後は、HotFixやPatchのインストールに対する
コード認証メカニズムが追加され、この問題が修正されます。
1.2 新機能
====================================================================
本リリースに含まれる新機能はありません。
1.3 ファイル一覧
====================================================================
A. 現在の問題の修正ファイル
----------------------------------------------------------------
ファイル名 ビルド番号
-------------------------------------------------------------
libdaemon.so 1427
svcmonitor 1427
isdelvd 1427
問題1の修正用ファイル :
-------------------------------------------------------------
IWSSGui.jar 1427
問題2の修正用ファイル :
-------------------------------------------------------------
IWSSGui.jar 1427
XSSGuard.properties 1427
web.xml 1427
問題3の修正用ファイル :
-------------------------------------------------------------
IWSSGui.jar 1427
問題4の修正用ファイル :
-------------------------------------------------------------
libdaemon.so 1427
libhttpproxy.so 1427
問題5の修正用ファイル :
-------------------------------------------------------------
jdk.tar 1427
PatchExe.sh 1427
7za 1427
B. 以前の問題の修正ファイル
----------------------------------------------------------------
libicap.so 1384
S99ISftp 1382
S99ISproxy 1382
logFilteringByHits.py 1382
IWSSPIScanVsapi.so 1382
wait_new_crl.py 1382
ui_DeleteAllowedList.sql 1382
virusscan.js 1382
localization.js 1382
scan_policy_rule.jsp 1382
purgefile 1382
AuthDaemon 1382
libhttpproxy.so 1415
libHTTPSDecryption.so 1414
logs_intro.htm 1382
iwsva_https_cron.sh 1382
download_crl.sh 1382
rule_file_ss6.5_to_ss6.5_ccr.xml 1382
rule_customize.xml 1382
migration 1382
tmcm_agent_settings.jsp 1383
libcommonldap.so 1392
iwsvanetfun_iwss.sh 1397
xss_func.js 1415
dashboard_settings.js 1415
facet.html 1415
S99ISreverseproxy 1418
libuiauutil.so 1421
libIWSSUIJNI.so 1421
urlf_reclassifyurl.jsp 1421
libdaemonbase.so 1421
libuiauutil.so 1422
AuPatch 1422
cert5.db 1422
libpatch.so 1422
libtmactupdate.so 1422
x500.db 1422
getupdate 1422
schedule_au 1422
libproductbase.so 1422
iwsvanetfun_iwss.sh 1422
libatse.so 1424
libvsapi.so 1424
2. ドキュメント
========================================================================
本製品には、次のドキュメントが付属しています。
- Readme - 基本的なインストール方法と既知の制限事項に関する説明
(本ドキュメント)
ドキュメントは、弊社の「最新版ダウンロード」サイトから入手することも
可能です。
https://downloadcenter.trendmicro.com/index.php?clk=left_nav&clkval=all_
download®s=jp
3. システム要件
========================================================================
1. 本リリースは、 Trend Micro InterScan Web Security Suite 6.5 Patch 2
ビルド 1382 - Japanese - Linux - x64 以降のビルドを実行中の
コンピュータに適用することができます。
4. インストール/アンインストール
========================================================================
このセクションでは、本リリースをインストールする際の重要な手順について
説明します。
4.1 インストール手順
====================================================================
本リリースをインストールするには、次の手順に従ってください。
1. Critical Patchファイルiwss_65_lx_ja_cpb1427.tgzをダウンロード
し、任意のローカ ルフォルダに保存します。
2. IWSS管理コンソールにログインします。
3. [管理]→[システムアップデート] の順に選択し、[システム
アップデート] 画面 を開きます。
4. [参照] をクリックします。
5. ダウンロードしたCritical Patchを指定し、[開く] をクリックし
ます。
6. [アップロード] をクリックすると、IWSSによってCritical Patchが
IWSSサーバにコピー され、ファイルが有効なCritical Patchであること
が確認されます。
7. [インストール] をクリックして、Critical Patchを適用します。
注意: 本リリースのインストールにより、HTTPサービスおよびFTP
サービスが数分間
中断されます。あらかじめご注意ください。
8. ブラウザのキャッシュをクリアします。
4.2 アンインストール手順
====================================================================
本リリースをアンインストールするには、次の手順に従ってください。
1. IWSS管理コンソールにログインします。
2. [管理]→[システムアップデート] の順に選択し、[システム
アップデート] 画面 を開きます。
3. Critical Patchビルド番号「cpb1427」で [アンインストール] を
クリックします。 確認画面が表示されたらCritical PatchのIDおよび
詳細を確認します。
4. [アンインストール] をクリックしてCritical Patchを削除します。
注意: 本リリースのアンインストールにより、HTTPサービスおよび
FTPサービスが 数分間中断されます。あらかじめご注意ください。
5. 設定
========================================================================
上記「1. はじめに」にインストール後の設定手順が記載されている場合は、
その手順を実行してください。
注意: 本リリースの適用後に、パターンファイルや検索エンジンの
アップデートを実行す ることをお勧めします。
6. 既知の制限事項
========================================================================
本リリースにおける既知の制限事項は次のとおりです。
#1 制限事項: [Reported at: IWSS 6.5.0 Patch 2 B1415]
管理者がIWSSのHTTP検索デーモンをプロキシとして使用している場合、
IWSS コンソールにアクセスできません。これはIWSSが、HTTP検索
デーモンを介した未知の攻撃から自身を保護する新しいメカニズムを
導入したために発生します。設定を変更するかIWSSを設定するには、
管理者がWebコンソールを直接参照する必要があります。
注意: PAC (Proxy Auto-configuration) ファイルが有効な場合
、関連するルールも設定する必要があります。
#2 制限事項: [Reported at: IWSS 6.5.0 Patch 2 B1427]
Critical Patch (ビルド1424) のReadmeに記載された問題に対処する
バージョン12.5.1004の高度な脅威検索エンジン/ウイルス検索エンジン
は、Critical Patch (ビルド1424) を適用することでのみ提供されます
。 これらのエンジンを強制的に適用するには、最初にCritical Patch (
ビルド1424) を適用してください。
注意: すでに最新の高度な脅威検索エンジン/ウイルス検索
エンジンを使用している場合でも、アップデートは強制的に実行
されます。 12.5.1004よりも新しいバージョンを使用している
場合、Critical Patch (ビルド1424) を適用する必要はありませ
ん。
7. リリース履歴
========================================================================
製品に関する最新情報については、弊社の「最新版ダウンロード」サイトを
ご覧ください。
https://downloadcenter.trendmicro.com/index.php?clk=left_nav&clkval=
all_download®s=jp
以前にリリースされたHotfix
====================================================================
注意: 本リリースでは、最新のHotFixのみテストされています。以前に
リリースされたHotFixについては、本バージョンへ累積して含まれており
ますがそれぞれのHotFixのリリース時にテストされています
[Critical Patch 1424]
(VRTS-4834), (VRTS-4903),
問題 1: InterScan Web Security Suiteの高度な脅威検索エンジン/
ウイルス検索エンジンが、メモリの枯渇によるサービス拒否の
脆弱性の影響を受けることがある問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本リリースの適用後は、高度な脅威検索エンジン/ウイルス検索
エンジンがアップグレードされ、この問題が修正されます。
[Hotfix 1422]
(VRTS-5103),
問題 1: アップデートモジュールが、任意のファイルアップロード
およびリモートコード実行における脆弱性の影響を受ける問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本リリースの適用後は、アップデートモジュールが
アップデートされ、この問題が修正されます。
(SEG-95842),
問題 2: Red Hat Enterprise Linux 7.xで日本語版InterScan Web
Security Suite 6.5を日本語版Trend Micro Apex Central
2019に登録できない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 2: 本リリースの適用後は、この問題が修正されます。
[Hotfix 1421]
(VRTS-5308), (VRTS-5311),
問題 1: InterScan Web Security Suiteが認証された
コマンドインジェクションの脆弱性の影響を受ける問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本リリースの適用後は、この問題が修正されます。
(VRTS-5302), (VRTS-5305),
問題 2: InterScan Web Security Suiteが
リモートスタック・バッファオーバーフローの脆弱性の影響を
受ける問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 2: 本リリースの適用後は、この問題が修正されます。
(SEG-91332),
問題 3: InterScan Web Security Suiteで「CM.yyyymmdd.xxxx」ログ
ファイルが自動的にローテーションされず、ファイルのサイズ
が非常に大きくなる問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 3: 本リリースの適用後は、指定されたサイズに達するたびに「CM.
yyyymmdd.xxxx」ログファイルがローテーションされるように
なり、この問題が修正されます。
[Hotfix 1419]
(SEG-89342),
問題 1: チャンク形式転送エンコーディングでInterScan Web Security
Suiteを介してWebサーバからファイルをダウンロードできない
問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本リリースの適用後は、この問題が修正されます。
[Hotfix 1418]
(SEG-87249),
問題 1: まれに、S99reverseproxyスクリプトでnginxバイナリを停止
できないことがある問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本リリースの適用後は、この問題が修正されます。
(SEG-87221),
問題 2: カテゴリ関連のレポートを正しく生成できず、情報が何も表示
されないことがある問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 2: 本リリースの適用後は、この問題が修正されます。
[Critical Patch 1415]
(VRTS-4213),
問題 1: InterScan Web Security Suite が認証された
コマンドインジェクションの脆弱性の影響を受ける問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本リリースの適用後は、この問題が修正されます。
(VRTS-4256), (VRTS-4260),
問題 2: InterScan Web Security Suiteが認証バイパスの脆弱性および
ディレクトリトラバーサルによる情報流出の脆弱性の影響を
受ける問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 2: 本リリースの適用後は、この問題が修正されます。
注意:
本脆弱性への対応の一環として、firewalldやiptables等を使用
し、InterScan Web Security Suiteサーバが
外部から「TCP:8983」ポート宛てへのアクセスをブロックできる
ことを確認してください。
(VRTS-4261),
問題 3: InterScan Web Security Suiteが
クロスサイトスクリプティングの脆弱性の影響を受ける問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 3: 本リリースの適用後は、この問題が修正されます。
[Hotfix 1414]
(SEG-80349),
問題 1: InterScan Web Security Suite がHTTPSクライアントとTLS/SSL
セッションを確立する際、HTTPS復号化機能が特定の暗号化
スイートを処理できないことがある問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本リリースの適用後は、この問題が修正されます。
[Hotfix 1399]
(SEG-70096),
問題 1: InterScan Web Security Suiteでは2048ビットキーの再署名さ
れた証明書を作成できないため、iOS 13またはmacOS 10.15が
稼働しているAppleデバイスでHTTPS復号化機能を実行できない
問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本リリースの適用後は、この問題が修正され、新しい初期設定
の証明書 (CA) (SHA-256/2048ビット) が「/var/iwss/https/
certstore/new_default_ca」に保存されます。
注意: RSA長を2048ビットに変更するとキー長が長くなる
ため、多くのHTTPSサイトを同時に復号化する際、より
多くのCPUコアが必要になることがあります。その場合は
CPUコア数を3倍にすることをお勧めします。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
手順 1: この機能を有効にするには、次の手順に従ってください。
1. 本リリースをインストールします (「4.1 インストール
手順」を参照)。
2. rootユーザとしてInterScan Web Security SuiteのLinux
コンソールにログインします。
3. 次のコマンドを使用して、すべてのInterScan Web
Security Suiteサービスを停止します。
/etc/iscan/rcIwss stop
4. 次のコマンドを使用して、現在の再署名された証明書の
キャッシュを削除します。
cd /var/iwss/https/certstore/cache/
rm -f resigned_cert
5. /etc/iscan/intscan.iniで [https-scanning]
セクションを編集し、「rsa_length=2048」を変更します。
6. 次のコマンドを使用して、すべてのInterScan Web
Security Suiteサービスを再起動します。
/etc/iscan/rcIwss start
新しい初期設定の2048ビットCAを使用するには、次の手順に
従ってください。
1. 本リリースをインストールします (「4.1 インストール
手順」を参照)。
2. rootユーザとしてInterScan Web Security SuiteのLinux
コンソールにログインします。
3. 次のコマンドを使用して、すべてのInterScan Web
Security Suiteサービスを停止します。
/etc/iscan/rcIwss stop
4. 次のコマンドを使用して、新しいCAファイルをコピーし
ます。
cd /var/iwss/https/certstore/new_default_ca
cp default.cer ../https_ca/default.cer
cp default_key.cer ../https_ca/default_key.cer
cp .default.passphrase
../https_ca/.default.passphrase
5. 次のコマンドを使用して、現在の再署名された証明書の
キャッシュを削除します。
cd /var/iwss/https/certstore/cache/
rm -f resigned_cert
6. 次のコマンドを使用して、すべてのInterScan Web
Security Suiteサービスを再起動します。
/etc/iscan/rcIwss start
(SEG-68369),
問題 2: Red Hat Enterprise Linux 7.7で日本語版InterScan Web
Security Suite 6.5を日本語版Trend Micro Apex Central
2019に登録できない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 2: 本リリースの適用後は、この問題が修正されます。
[Hotfix 1397]
(SEG-65140),
問題 1: Red Hat Enterprise Linux 7.7で日本語版InterScan Web
Security Suite (IWSS) 6.5を日本語版Trend Micro Apex
Central 2019に登録できない問題。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本Hotfixの適用後は、この問題が修正されます。
[Critical Patch 1396]
(SEG-65319),
問題 1: Hotfix1389以降を適用した場合、FTP検索デーモンとHTTP検索
デーモンでファイルディスクリプタリークが発生する問題。
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本Critical Patchの適用後は、この問題が修正されます。
[Critical Patch 1393]
(SEG-63144),
問題 1: iwssdがDNS TTL情報を処理する際に異常終了し、次の事象を
引き起こす問題
- Webアクセスの失敗もしくは遅延
- iwssdのコアダンプの大量発生
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本Critical Patchの適用後は、この問題が修正されます。
[Hotfix 1392]
(SEG-59715),
問題 1: 「/var/iwss/commonldap/LdapSetting.ini」ファイルで「
IsPreferBDN」が「yes」に設定されている場合、以下の不具合が
発生する問題
- 管理コンソールの [ログ]→[インターネットアクセス] 画面
にユーザ名が表示されない
- ユーザアカウントがIWSSのプロキシ認証を通過する場合
でも、「ユーザ」を条件とするURLフィルタポリシーが機能し
ない
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本HotFixの適用後は、この問題が修正されます。
[Hotfix 1390]
(SEG-52240),
問題 1: 詳細認証が有効な場合、IWSS Webコンソールの [ユーザの識別]
にアクセスしようとすると「HTTP 500」エラーが表示される問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本HotFixの適用後は、関連する内部ロジックがアップデートさ
れ、この問題が修正されます。
[Hotfix 1389]
(SEG-50033),
問題 1: 「IWSSPIProtocolHttpProxy.pni」で「enable_sync_dns_ttl」が「
yes」に設定されている場合、DNSサフィックスが予期したとおり
に機能しない問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本HotFixの適用後は、「IWSSPIProtocolHttpProxy.pni」に「
uncached_host_list」が追加され、ドメインを解決する際、この
リストに含まれる各ドメインの末尾にDNSサフィックスが自動的
に追加されるようになり、この問題が修正されます。
(SEG-56627),
問題 2: [管理]→[一般設定]→[Control Managerへの登録] 画面で、
パスワードを変更せずIWSSのTrend Micro Control Managerへの
登録および登録解除を繰り返すと、次のメッセージが表示され
て登録に失敗する問題
「パスワードには4~32文字の英数字を使用できます。」
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 2: 本HotFixの適用後は、IWSS Webコンソールで初期設定の
パスワードが繰り返し暗号化されないようになり、この問題が
修正されます。
[Hotfix 1384]
(SEG-44116),
問題 1: ICAPモードで、特定のICAP要求がインターネットアクセスログ
に表示されないことがある問題
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
修正 1: 本HotFixの適用後は、この問題が修正されます。
こんにちは、AIチャットサポートの Trend Companion です。
ビジネスサクセスポータルにログインする事で、当サポートが使用可能になります。