<製品説明書> ・商品名称:IPCOMEX1100_1300_2000A-FIRM-E20L32-NF0301 ・プログラム番号(型名):IX11SC20,IX13SC20,IX20SC20,IX20SC20D, IX11NW20,IX13NW20,IX20NW20,IX20NW20D, IX11LB20,IX13LB20,IX20LB20,IX20LB20D, IX20IN20,IX20IN20D ・版数:E20L32 NF0301 ・対応製品名:IPCOM EX ファームウェア
・対象機種:IPCOM EX1100 IPCOM EX1300 IPCOM EX2000A ・適用装置型名:IX11SC20,IX13SC20,IX20SC20,IX20SC20D, IX11NW20,IX13NW20,IX20NW20,IX20NW20D, IX11LB20,IX13LB20,IX20LB20,IX20LB20D, IX20IN20,IX20IN20D ・使用条件:【注意事項】 (01)CD-R/RWを使用して、本版数へ改版する場合は、CD-R/RWを作成するための環境が必要となります。 (02)保守支援機能を利用して本版数へ改版(ファームアップデート:Level版数のアップ) する場合は、ハードディスクオプションが設定されている必要があります。 ハードディスクオプションが設定されていない場合は、保守支援機能を利用して改版 (Level版数のアップ)することはできませんので、CD-R/RWを使用して本版数へ改版 (レベルアップ)してください。 (03)本版数のファームウェアを使用する際は、E20L32 PF0301以降の管理ソフトウェア を使用してください。 なお、管理ソフトウェア内には、 ・本ファームウェアの使用許諾書 :「LICENSE.pdf」 ・本ファームウェアで追加/強化した機能:「release_note.pdf」 ・本ファームウェアの留意事項 :「ryuijikou.pdf」 が含まれていますので、本版数に改版する前にご参照ください。 ※「release_note.pdf」/「ryuijikou.pdf」は、ダウンロードした圧縮ファイルに含 まれています。 ・改版内容:<<"E20L32 NF0201"からの修正>> [障害対応] (01)【基本機能】 IPv6通信を、IPCOMでブリッジ中継した場合、ICMPv6のチェックサム値が不正な値となり、 通信がエラーとなります。 (02)【基本機能】 "ups config" コマンドにおいて、コミュニティ名に使用不可能な文字を指定した場合に 表示するコンソールメッセージ(エラーメッセージ)において、誤ったメッセージが 表示されます。 (03)【基本機能】 装置異常時の処理には以下の4パターンが存在するが、装置停止や装置再起動を 行わない(2)と(3)の場合に通信を絞り込んだままとなる場合があります。 この場合、装置を再度起動するまで通信を絞り込んだままの状態となります。 <装置異常時の処理> (1)装置異常(装置停止や装置再起動 あり) (2)装置異常警告レベル(装置停止や装置再起動 なし) (3)装置異常警告レベルから正常に復帰(装置停止や装置再起動 なし) (4)電源ボタン長押し(装置停止あり)" (04)【基本機能】 装置起動を行った場合に、LCDパネル表示がConfig3199のまま止まる場合があります。 (05)【基本機能(CLI)】 "show interface"コマンドにおいて、正しいリンク状態が表示されません。 (06)【基本機能(CLI)】 "monitor udp-idle-timer"コマンドの表示されるメッセージにおいてデフォルト値が 3600と表示されます。
(edit)# monitor udp-idle-timer 1
<ERROR> The UDP virtual connection's idle monitor timer is set up
in the range for 10-86400 (one day) seconds (initial value 3600).
^^^^^^ (07)【基本機能(CLI)】 "show user-role"コマンドにおいて、"client-ip-pool"がSSL-VPN未サポート機種で L2TPサポート機種の場合、正しく表示されない場合があります。 (08)【基本機能(CLI)】 各種リソース定義コマンドにおいて、"commit"コマンドを実行するとプロセスダンプが 発生する場合があります。 (09)【基本機能(webコンソール)】 運用・保守画面のメニュー押下後、管理者認証を経て二重化切り替え画面を表示する際、 白い画面が表示されます。
(10)【基本機能(認証)】 PAP認証方式で認証を行なった場合、正しいパスワードを入力しても認証が失敗する 場合があります。なお、再度認証を行なうと、認証が成功する場合があります。 (11)【基本機能(ログ管理)】 ログ情報のメール転送機能において、転送に失敗すると装置再起動する場合があります。 (12)【サーバ負荷分散機能】 分散対象サーバがIPCOMとは異なるセグメント配置されている構成において、 サーバ負荷分散の特定機能使用時(*1)にIPCOMから送信するRSTが送信されない場合があります。 (*1)webアクセラレーション機能、HTTP Keep-Alive 負荷分散機能を使用していないかつ、 以下のいずれかの機能を使用している場合 ・分散対象パケットの置換機能(replace-rule) ・HTTPヘッダー挿入機能(http-header-insertion)
・ESTABLISHEDによるアクセス制限(access-limit mode connection established) ・cookie/URLリライト単位の一意性保証
(http-session cookie servletapi2.2,persistence mode http-session cookie-url servletapi2.2,persistence mode http-session cookie server2000,persistence mode http-session cookie-url server2000,persistence mode http-session cookie-url other) ・ASP.NET セッションID 単位(persistence mode http-session asp)
(13)【サーバ負荷分散機能】 SLBの故障監視において、"monitor check-timeout"の満了が最大100ミリ秒遅延する場合が あります。 (14)【サーバ負荷分散機能】 サーバ負荷分散機能にて、定義配信時に作業領域の獲得に失敗し、定義配信ができない場合が あります。 (15)【IPsec-VPN機能】 暗号カード異常のリカバリ処理中、または、待機系装置における暗号カードの 定期リセット中にバスエラーを誤検知し、装置が停止する場合があります。 (16)【IPsec-VPN機能】 暗号通信中に暗号カードのリカバリがおこなわれると、暗号カードドライバ異常が発生し、 装置再起動や装置停止する場合があります。 (17)【IPsec-VPN機能】 暗号カードがタイムアウトを検知した場合、暗号カードのリカバリ処理が実行されない場合が あります。 (18)【IPsec-VPN機能】 暗号カードAにおいて、"security-hardware resource"コマンドの設定がssl-priorityに 設定されている場合、IPsec通信において認証エラーとなるパケットを受信すると装置が 再起動する場合があります。 (19)【IPsec-VPN機能】 暗号カードAにおいて、"security-hardware resource"コマンドの設定がssl-priorityに 設定されている場合、IPsec通信においてタイムアウトとなる通信を2回受信した場合に IPsec通信が不可となり、CPU使用率が高騰する場合があります。 (20)【SSL-VPN機能】 SSL通信中に"show tech-support"コマンドを実行するとコマンドが完了しないままとなる場合が あります。 (21)【SSL-VPN機能】
Windows 10環境で、SSL-VPNクライアントをE20L32 NF0001~E20L32 NF0101の版から E20L32 NF0201以降の版へ更新しようとすると、以下のメッセージを表示して インストールに失敗する場合があります。 『ソフトウェアのアンインストールが途中でキャンセルされました。 アンインストールを完了するにはシステムを再起動する必要があります。 システムを再起動後、[コントロールパネル]->[プログラムの追加と削除]より、 再度ソフトウェアのアンインストールを行なってください。』 (22)【SSL-VPN機能】 暗号カード異常のリカバリ処理中、または、待機系装置における暗号カードの 定期リセット中にバスエラーを誤検知し、装置が停止する場合があります。 (23)【SSL-VPN機能】 暗号通信中に暗号カードのリカバリがおこなわれると、暗号カードドライバ異常が発生し、 装置再起動や装置停止する場合があります。 (24)【SSL-VPN機能】 暗号カードがタイムアウトを検知した場合、暗号カードのリカバリ処理が実行されない場合が あります。 (25)【SSL-VPN機能】 SSLトンネル方式(L2フォワーディング方式)の接続処理中にSSL通信が切断されると ファームウェア異常となり装置が再起動する場合があります。 (26)【SSL-VPN機能】 WebブラウズサービスまたはSSLトンネル方式(ポートフォワーディング方式)で クライアントへのデータ送信が滞留した場合に最終データが欠落する場合があります。 (27)【SSL-VPN機能】 楕円曲線(ECC)の暗号スイート利用時に、特定の通信を受信すると、装置再起動や 装置停止する場合があります。 (28)【SSL-VPN機能】 楕円曲線(ECC)の暗号スイートを利用して、SSLアクセラレータに接続が 行えなくなる場合があります。 (29)【SSL-VPN機能】 SSL-VPN機能とリンク負荷分散機能を連携している場合、PPPoEインタフェースを
利用したSSL通信が正常に行わない場合があります。 (30)【SSLアクセラレーター機能】
SSL通信中に"show tech-support"コマンドを実行するとコマンドが完了しないままと なる場合があります。
(31)【SSLアクセラレーター機能】
"show ssl-accel server information"コマンドにおいて、以下のように暗号スイートの 情報が正しく表示されません。 1.SSL_RC2_CBC_128_CBC_WITH_MD5を設定した場合、SSL_RC4_128_EXPORT40_WITH_MD5が表示されます。 2.SSL_RC4_128_EXPORT40_WITH_MD5を設定した場合、SSL_RC2_CBC_128_CBC_WITH_MD5が表示されます。 (32)【SSLアクセラレーター機能】 暗号カード異常のリカバリ処理中、または、待機系装置における暗号カードの定期リセット中に バスエラーを誤検知し、装置が停止する場合があります。 (33)【SSLアクセラレーター機能】 暗号通信中に暗号カードのリカバリがおこなわれると、暗号カードドライバ異常が発生し、 装置再起動や装置停止する場合があります。 (34)【SSLアクセラレーター機能】 暗号カードがタイムアウトを検知した場合、暗号カードのリカバリ処理が実行されない場合が あります。 (35)【SSLアクセラレーター機能】 SSLアクセラレータ機能とリンク負荷分散機能を連携している場合、PPPoEインタフェースを 利用したSSL通信が正常に行わない場合があります。 (36)【SSLアクセラレーター機能】 楕円曲線(ECC)の暗号スイート利用時に、特定の通信を受信すると、装置再起動や 装置停止する場合があります。 (37)【SSLアクセラレーター機能】 楕円曲線(ECC)の暗号スイートを利用して、SSLアクセラレータに接続が行えなくなる場合があります。 (38)【アンチウィルス機能】 メールサーバーから通知されてくるメッセージに日本語が含まれている場合、webコンソールへの ログイン時に「装置情報が取得できませんでした」が画面に表示されます。 (39)【アクセス制御機能 アクセスマップコマンドにおいて、"validate"コマンドを実行するとプロセスダンプが 発生する場合があります。 (40)【アノマリ型IPS機能】 アノマリ型IPS機能におけるしきい値をもつ攻撃の統計情報表示に関して、Webモニターで 情報を表示すると、接続元コネクション数制限のピーク値が正しく表示されません。 (41)【アノマリ型IPS機能】 アノマリ型IPSにおいて、アクションをblockに、拘束時間を無期限(0)に設定した場合に、 装置再起動または、装置停止する場合があります。 (42)【ファイアウォール機能】 ファイアウォールの設定コマンドにおいて、"validate"コマンドを実行すると プロセスダンプが発生する場合があります。 (43)【WAF機能】 webコンソールにおいて、WAFのポリシー(サイト単位)設定の画面を表示しようとすると スクリプトエラーが発生する場合あります。 [脆弱性対応] (01)【基本機能】 DNSの脆弱性:CVE-2015-8704, CVE-2015-8000 に対応しました。 (02)【基本機能】 DHCPの脆弱性:CVE-2015-8605 に対応しました。 (03)【基本機能】
NTPの脆弱性:CVE-2015-7704, CVE-2015-7705, CVE-2015-7871, CVE-2015-8138 に 対応しました。 [機能改善] (01)【基本機能】 装置内のセキュリティを強化するため、rootにパスワードを付与します。 (02)【基本機能(webコンソール)】 シグネチャー型IPS設定画面の設定項目注釈の内容を変更しました。 (03)【基本機能(認証機能)】 証明書検証時の禁止ハッシュアルゴリズムとしてsha1を追加しました。 (04)【サーバ負荷分散機能】 サーバ負荷分散ルールへのアクセス数超過時のログについて、ログレベルを audit-normalまたはaudit-outlineの場合でも出力する改善しました。 (05)【サーバ負荷分散機能】
real-server配下のaccess-limit mode connection establishedが定義されている場合、 通信のタイミングに依存せず、ESTABLISHED 状態のコネクション数による アクセス数超過時のログを出力するよう改善しました。 (06)【IPsec-VPN機能】 暗号カードオプションの利用において回復可能なタイムアウトを連続検出した場合に 暗号カード異常発生と判定し、暗号カードの初期化(リカバリ)処理を行い、 動作可能状態に移行するよう改善しました。 (07)【SSL-VPN機能】 暗号カードオプションの利用において回復可能なタイムアウトを連続検出した場合に 暗号カード異常発生と判定し、暗号カードの初期化(リカバリ)処理を行い、
動作可能状態に移行するよう改善しました。 (08)【SSL-VPN機能】 SSL-VPNポータル機能が応答するHTTPレスポンスヘッダーにWebブラウザのセキュリティを 強化するヘッダーフィールドを追加/変更しました。 (09)【SSLアクセラレーター機能】 暗号カードオプションの利用において回復可能なタイムアウトを連続検出した場合に 暗号カード異常発生と判定し、暗号カードの初期化(リカバリ)処理を行い、 動作可能状態に移行するよう改善しました。 (10)【アンチウィルス機能】 アンチウィルスの検知エンジンを最新版に変更しました。これに伴い、以下の点が 変更されます。 <変更内容> ・URLスキーム大文字のサポート。 ・multipart/mixedのHTTP POSTリクエストの複数改行対応。 ・Content-Type後の空行をサポート。 ・CONNECTメソッドの場合、ログのURLフィールドに"https://"を含ませない様に修正。 ・改版方法:<<ダウンロード方法>> (01)WebブラウザからPC端末に、以下の圧縮ファイルをダウンロードします。 - 解凍前:IPCOMEX1100_EX1300_EX2000A-FIRM-E20L32-NF0301-B09.zip (659,619,689 バイト) (02)ダウンロードしたファイルを解凍すると以下のファイルが展開されます。 - 解凍後:IPCOMEX1100_EX1300_EX2000A-FIRM-E20L32-NF0301-B09.iso (438,728,704 バイト) IPCOMEX1100_EX1300_EX2000A-UPDATE-NPAE-E20L32NF0301B09.lupdate (185,715,840 バイト) IPCOMEX1100_EX1300_EX2000A-UPDATE-NPAE-E20L32NF0301B09.tar.gz ( 33,651,040 バイト) release_note.pdf ( 342,191 バイト) ryuijikou.pdf ( 2,092,662 バイト) [解凍して展開されたファイルの説明] ○IPCOMEX1100_EX1300_EX2000A-FIRM-E20L32-NF0301-B09.iso - ファームウェアCDイメージファイル ○IPCOMEX1100_EX1300_EX2000A-UPDATE-NPAE-E20L32NF0301B09.lupdate - Level版数アップ用のアップデートデータ(IPCOM EX1100/EX1300/EX2000A用) ○IPCOMEX1100_EX1300_EX2000A-UPDATE-NPAE-E20L32NF0301B09.tar.gz - NF版数アップ用のアップデートデータ(IPCOM EX1100/EX1300/EX2000A用) ○release_note.pdf - 追加/強化した機能を記載したファイル ○ryuijikou.pdf - 留意事項を記載したファイル <<ファームウェアCD作成方法>> 市販のCD-R/RW作成ソフトウェア等を使用して、以下のISO9660フォーマットの イメージファイルをCD-R/RWに焼き付けます。 - IPCOMEX1100_EX1300_EX2000A-FIRM-E20L32-NF0301-B09.iso なお、CD-R/RWに焼き付ける際は、イメージファイルをデータファイルとして直接CD- R/RWに焼き付けないでください。 また、一般のCDドライブでも読み出せるように、CD-R/RWのクローズ処理もおこなっ てください。 ※CD-R/RWのクローズ処理方法については、CD-R/RW作成時に使用するソフトウェ アのマニュアルに従ってください。 <<作成したファームウェアCD確認方法>> Windowsのエクスプローラを使用して、作成したCD-R/RWのプロパティおよびCD- R/RW内のフォルダとファイルの構成を確認してください。 【CD-R/RWのプロパティ】 - ボリュームラベル :IPCOMEXE20L32 - 使用領域 :438,728,704 バイト - 空き領域 : 0 バイト 【CD-R/RWの内容】 IPCOMEXE20L32 EX1100_EX1300_EX2000A-2016-05-30:ファイル フォルダ isolinux :ファイル フォルダ DEFAULT-IMAGE :ファイル ※改版方法の詳細については、 『IPCOM EXシリーズ 保守ガイド』 「1-2 ファームウェアを更新する (新規インストール/レベルアップ/ファームアップデート/バックアウト)」 を参照してください。
・変更履歴 年月日 変更履歴 2016/06/08 初版
