発生条件
以下の条件に合致している場合、Windowsではtbimdsa、Linuxではdsa_filterの処理に起因してカーネルパニックが発生する事例を確認しております。
・侵入防御機能でSSLインスペクションを使用
SSLインスペクションについてはDeep Security ヘルプセンターをご参照ください。
現在事象発生が確認されている環境
Red Hat Enterprise Linux 7.2
Red Hat Enterprise Linux 7.1
CentOS 6.5
CentOS 6.1
CentOS 5.1
Windows Server 2012 R2
DSA11.3
DSA11.0
DSA10.0
DSA9.6
上記の環境に合致している場合でも「発生条件」に合致していない場合は本事象は発生いたしません。
原因
SSLインスペクションにおけるパケットの処理の過程でカーネルパニックが発生していることを確認しています。
対処方法
Linux環境用の修正モジュール
カーネルサポートパッケージ(以下、KSP)にてdsa_filterの修正を行っております。
修正を適用するため、以下のビルドと等しいか、より新しいKSPをインポートし
ds_agentを再起動してください。
12.0.0.491 / 11.0.0.909 / 10.0.0.3491 (CentOS 5 環境の場合は 10.0.0-3514) / 9.6.2-9055
■KSP適用方法
1.お使いの環境用の最新版KSPがDSMにインポートされていることを確認します。
a.[管理]をクリックします。
b.[アップデート]-[ソフトウェア]を順にクリックします。
c.[ダウンロードセンター]をクリックします。
d.インポートが必要なKSPを探します。
インポート済みの場合、インポート済みにチェックが入っています。
(以下、e、fはインポートされていない場合のみ)
e.チェックが入っていない場合、インポートします。
f.インポート後、ポリシー送信が実行されますので、完了を待ちます。
2. ds_agentサービスを再起動します。
/etc/init.d/ds_agent restart
問題を引き起こしておりましたdsa_filterについては、ds_agentを再起動したタイミングで最新のドライバに置き換わります。
Windows環境用の修正モジュール
本修正を含んだUpdateリリースを適用ください。
- DSA9.6 Update 24以降
- DSA10.0 Update 21以降
- DSA11.0 Update 14以降
- DSA12.0 Update 2以降
ダウンロードはこちら
一時回避策
■SSLインスペクション機能の無効化
1. Deep Security Managerの管理コンソールにログインします。
2. コンピュータをクリックします。
3. SSLインスペクションを使用しているコンピュータをダブルクリックします。
4. 侵入防御をクリックします。
5. 詳細タブをクリックします。
6. SSL設定の表示をクリックします。
7. 表示されたSSL設定をダブルクリックします。
8. 有効(SSL設定の有効化)のチェックを外します。
■その他の回避策
弊社サポートセンターにお問い合わせくださいますようお願いいたします。