サポートニュースお知らせ Linux ゲートウェイおよび Linux セキュリティのスキャナ (fsavd) が停止してしまう問題について ( 解決 ) 2015 年 01 月 26 日 12: 年 01 月 26 日 15:00 ( 更新 ) 2015 年 01 月 26 日

(1)

サポートニュース

【お知らせ】Linux ゲートウェイ、および、Linux セキュリティのス

キャナ(fsavd)が停止してしまう問題について（解決）

2015 年 01 月 26 日 12:00 2015 年 01 月 26 日 15:00 (更新) 2015 年 01 月 26 日 18:00 (更新) 2015 年 01 月 27 日 10:30 (更新:対応) 2015 年 01 月 27 日 12:00 (更新:Linux セキュリティの KB 情報追加) 2015 年 01 月 27 日 13:30 (更新:Linux セキュリティの手順変更) 2015 年 01 月 28 日 10:30 (更新:Linux セキュリティの事例変更) 2015 年 01 月 30 日 11:00 (更新:報告) 時下ますますご清栄のこととお慶び申し上げます。日頃よりエフセキュア製品をご愛顧いただきまして誠にありがとうございます。この度は弊社 Linux 上の製品で使用する Aquarius パターンファイルが原因で、一部の環境のお客様において弊社製品の動作に重大な影響が発生し、弊社製品をご利用のお客様に多大なご迷惑をおかけしましたことを、深くお詫び申し上げます。 [概要]

Linux ゲートウェイ製品、および、Linux セキュリティ製品の一部の環境において、特定の Aquarius パターンファイルを適用すると、常駐のスキャナ・プロセス (fsavd) が停止してしまう事象が報告されました。 Linux セキュリティの場合、fsavd が停止する事象は発生しないにも関わらず、問題のあるパターンファイル適用が失敗するというケースも報告されております。この問題は Aquarius 2015-01-26_02 および、それ以降にて対応しました。 [事象と発生条件] (1) Linux ゲートウェイ 以下バージョンの環境にて特定のバージョン以降のパターンファイルに更新後に fsavd が停止し、その後手動にて起動しようとしてもエラーが出力され、起動されません。

(2)

・該当 fsavd バージョン fsavd: 2.50 build 18695 (4.xx) fsavd: 1.0 build 0067 (5.xx) (診断情報の version.txt 内の fsavd の行で確認可能です) ・該当パターンファイル Aquarius の 2015-01-23_07 から 2015-01-26_01 ・その他の発生条件 SELinux 機能を有効にしている環境・発生時のメッセージ例

fsavd: FPI_Initialize failed for engine Aquarius (/home/virusgw/databases//aqualnx32.1422155785/libaqua32.so), result=4, error_occured=0 (2) Linux セキュリティ Lunux セキュリティの一部の環境におきましても、同様の現象の発生が確認されました。 Linux セキュリティの場合、fsavd が停止する事象は発生しないにも関わらず、問題のあるパターンファイル適用が失敗するというケースも報告されております。・該当 fsavd バージョン

F-Secure Security Platform 2.50 build 11691

(‘rpm –q f-secure-security-platform’コマンドで確認可能です) ・該当パターンファイル Aquarius の 2015-01-23_07 から 2015-01-26_01 ・その他の発生条件 SELinux 機能を有効にしている環境・発生時のメッセージ例

fsavd: FPI_Initialize failed for engine Aquarius (/var/opt/f-secure/fssp/databases//aqualnx32.1422069400/libaqua32.so), result=4, error_occured=0

[原因]

Aquarius 2015-01-23_07 から 2015-01-26_01 のパターンファイルにおいて、SELinux 機能を有効にしている環境では、特定のバージョンの fsav との整合性が取れない問題が存在しました。整合性に関する詳細は弊社内部情報となりますため、非公開とさせていただいています。

(3)

[対応] 以下のバージョン以降の Aquarius にて問題に対応しました。 Aquarius 2015-01-26_02 (aqualnx32.1422262776) (日本時間 2015 年 01 月 26 日 18:41) 以降 [修正および確認手順] Aquarius 2015-01-26_02 以降を取得して適用（自動更新もしくは、dbupdate コマンドによる手動更新、もしくは、fsdbupdate9.run による更新）した後に、手動でサービスを再起動することにより、fsavd が起動されます。 (1) Linux ゲートウェイの例 ・Ver 4 シリーズ # cd /home/virusgw （デフォルトのインストールディレクトリ） # ./dbupdate # make restart パターンファイルのバージョンは WebUI 上部の「バージョン情報」内の Aquarius 項にて確認できます。またはコマンドにて # cd /<インストールディレクトリ>/databases/ # ls -al にて確認できる aqualnx32.nnnnnnnnn の数字 n が aqualnx32.1422262776 以上であれば修正されたバージョンであると確認できます。・Ver 5 シリーズ # cd /opt/f-secure/fsigk （デフォルトのインストールディレクトリ） # ./dbupdate # make restart パターンファイルのバージョンは WebUI の「パターンファイルのアップデート」内の Aquarius 項にて確認できます。またはコマンドにて # cd /<インストールディレクトリ>/databases/ # ls -al にて確認できる aqualnx32.nnnnnnnn の数字が aqualnx32.1422262776 以上であれば修正されたバージョンであると確認できます。

(4)

(2) Linux セキュリティフルエディションの例 Linux セキュリティの場合、パターンファイルのリセットが必要です。パターンファイルのリセット方法については、以下の弊社ナレッジベース (KB) の各製品のパターンファイルのリセット方法をご参照下さい。【Linux 製品のパターンファイルファイルのリセット方法について教えてください】パターンファイルのリセット後、以下のコマンドでパターンファイル更新と fsma サービス再起動を行ってください。 dbupdate コマンドはデフォルトで 15 分でタイムアウトします。パターンファイル更新が 15 分以内に終了しなかった場合、dbupdate コマンドはタイムアウト終了しますが、パターンファイル更新処理はバックグランドで継続実行をしています。この場合、再度 dbupdate コマンドを実行するとパターンファイル更新が最初から再実行されるのではなく、現在実行中のパターンファイル更新処理の状況をモニタします。既に完了している場合は、何も更新はないのでそのまま終了しますし、まだバックグランド処理が実行中の場合はその経緯をモニタします。パターンファイルのリセット後のパターンファイル更新は通常より dbupdate コマンドのタイムアウトが発生しやすくなります。タイムアウト終了はパターンファイル更新の失敗ではありませんので、ご注意ください。 # dbupdate

# service fsma restart

パターンファイルのバージョンは webUI 左下「詳細設定モード」画面メニュー一番下の「バージョン情報」より「データベースのバージョン」にて確認できます。

またはコマンドにて # fsav --version

にて出力される Aquarius databse version にて確認できます。 [再発防止策] 今回の Aquarius パターンファイルの問題の詳細は、弊社の機密事項に該当するため、詳細は公開できませんが、SELinux 機能と整合性が取れないコードが Aquarius 2015-01-23_07 に組込まれたことが主要因です。また、弊社でのパターンファイル配信前の社内検証においては、従来から SELinux は無効にした環境で行っていました。弊社としては、今回の不整合の発生を未然に防ぐことができなかったことを大きな問題と認識しています。

(5)

弊社では、この点を重視し、以下の再発防止策を行います。 (1) パターンファイル開発時の追加変更項目の影響範囲の事前確認の強化 (2) パターンファイル配布前の検証テストのカバレッジの強化なお、既に SELinux の環境を検証テストに追加していますので、同じ原因による今回の事象の再発は起こりません。 [対応履歴] 2015 年 01 月 26 日午前 Linux ゲートウェイでの事象発生の報告を受理サポートチーム内で現象発生を確認上級エンジニア、開発部門へのエスカレーション 12:00 事象に関するサポートニュース発行 (新規お知らせ) 13:00 Linux ゲートウェイのお客様向け事象発生のメール案内を送信午後 Linux セキュリティでの事象発生を確認 15:00 サポートニュース更新 (現状報告) 18:00 サポートニュース更新 (現状報告) 18:41 対応した Aquarius 2015-01-26_02 発行社内検証作業 20:00 Linux セキュリティのお客様向け追加メール案内を送信 2015 年 01 月 27 日午前社内検証作業 10:30 サポートニュー更新 (対応報告) 11:00 Linux 製品のお客様向けに対応のメール案内送信 12:00 サポートニュース更新(記載内容追加) 13:30 サポートニュース更新(記載内容変更) 2015 年 01 月 28 日 10:30 サポートニュース更新(記載内容変更) 2015 年 01 月 30 日 11:00 サポートニュース更新(報告) 不明な点がある場合は、弊社サポートセンターまでお問い合わせください。お問合せフォーム http://www.f-secure.com/ja_JP/web/business_jp/support/support-request

サポートニュース お知らせ Linux ゲートウェイ および Linux セキュリティのス キャナ (fsavd) が停止してしまう問題について ( 解決 ) 2015 年 01 月 26 日 12: 年 01 月 26 日 15:00 ( 更新 ) 2015 年 01 月 26 日