CA ControlMinder 12.6 SP3 FIXLIST - Japanese - CA Technologies
{{search ? 'Close':'Search'}}

CA ControlMinder 12.6 SP3 FIXLIST - Japanese

No. 重大度 モジュール 問題のサマリ パッケージ OS 問題の原因 条件 解決策または回避策 再現手順
1 2 UNIX エンドポイント カーネル モード CA ControlMinder ユーザが GROUPWARE Web のメニューをクリックすると、レスポンスが 3 ~ 4 秒遅延する問題を修正しました。パケット分析(Wireshark パケット アナライザを使用)により、約 2/5 の 送信済み SYN が ACK を受信していないことが分かりました。ControlMinder を停止するか、またはストリームをオフに設定すると、この問題は発生しません。 AC126SP20754 HPUX IA64 この遅延は AC の flushq 実装の実行速度が原因です。   CA ControlMinder ストリーム コードが修正され、flushq 実装のプロセス速度が改善されました。 1. AC 12.5 SP5 がインストールされた HPUX 11.31 ia 64 上に Apache をインストールします。
2. ブラウザを開き、http:// (サーバ IP) を入力します。デフォルトの apache Web ページである index.html が開きます。
3. ストリームが ON の場合に、index.html ページの更新を繰り返します。
4. 5 回のうち 2 ~ 3 回は 2、3 秒の遅延が発生します。
5. ストリームが OFF の場合、遅延は発生しません。
2 2 Windows エンドポイント カーネル モード CA ControlMinder で Stop Error 画面が表示される問題を修正しました。 AC126SP20792 Windows all seosd メモリの破損     1. TM AV がインストール済みの Windows 2008 x64 システムに CA ControlMinder をインストールします(OS および AV が最新であることを確認します)。 
2. ControlMinder を停止して、QueueTimeout 値を 10 から 1 に変更します。
3. ファイル保護とネットワーク保護の ControlMinder ルールを追加します(クラス TCP を有効化し、クラス TCP の _default を audit all に変更します)。
4. netstress および fstress X 2 を無限サイクルで実行し、ControlMinder 環境にストレスを与えます。
5. 以下のスクリプトを実行します。
@echo off
:begin
@echo Start phase 1
time /t
seosd -start
wait 1200
@echo Start phase 2
time /t
secons -s
@echo Stop phase 1
time /t
wait 1200
@echo Start phase 3
time /t
net stop seosdrv
@echo Stop phase 3
time /t
wait 1200
seosd -start
wait 1200
@echo Start phase 4
time /t
net stop seosdrv
@echo Stop phase 4.1
time /t
secons -s
@echo Stop phase 4.2
time /t
wait 1200
goto begin
6. このテストを少なくとも 24 時間実行します。テスト中に seosd がクラッシュした場合、問題が再現されたことになります。
予期される結果: - Stop Error 画面が表示されない(ドライバ検証を有効にする必要があります)。
3 2 UNAB UNAB の実行後に、sudo で以前にアクセスできたユーザへのアクセスが拒否される問題を修正しました。 AC126SP20814 Solaris Sparc sudo が UNAB と連携して正常に動作しません。Solaris の initgroups API は、NSS サブシステムと通信する内部 API _getgroupsbymember() を呼び出して、ユーザがローカル グループおよび Active Directory グループの両方に含まれる場合に、Active Directory グループのみのユーザ グループ リストを誤って取得するためです。   Active Directory ユーザ グループを pam_uxauth.so に設定し、id -a および sudo 操作から正しい出力が得られるようにします。
注: Active Directory ユーザであり、ローカル グループのメンバでもあるカスタマは 12.6SP2 で問題が発生します。
 
4 2 UNIX エンドポイント カーネル モード ネットワーク イベントの syscall フックを実装することで、カスタマがアプリケーション Web ページの更新を試行したときに遅延が発生する問題を修正しました。 AC126SP20927 Solaris Sparc 根本原因は不明です。 Httpd による Web ページの更新 回避策として、ネットワーク イベントの syscall フックを実装し、ネットワーク イベントでの STREAMS の使用をバイパスします。  
5 2 UNIX エンドポイント ユーザ モード
UNIX エンドポイント カーネル モード
ネットワーク イベントの syscall フックを実装することで、カスタマがアプリケーション Web ページの更新を試行したときに遅延が発生する問題を修正しました。 AC126SP20927
AC126SP20928
HPUX PA-RISC、HPUX IA64 根本原因は不明です。   回避策として、ネットワーク イベントの syscall フックを実装し、ネットワーク イベントでの STREAMS の使用をバイパスします。  
6 2 UNIX エンドポイント カーネル モード ネットワーク イベントの syscall フックを実装することで、カスタマがアプリケーション Web ページの更新を試行したときに遅延が発生する問題を修正しました。 AC126SP20867 Solaris Sparc 根本原因は不明です。 SSH トンネル、CM ストリームの有効化 このパッケージ内の回避策では、ネットワーク イベントの syscall フックが実装され、ネットワーク イベントでの STREAMS の使用をバイパスします。  
7 3 UNIX エンドポイント ユーザ モード root のアクセスが許可されている場合でも Serevu が root に対して監査イベント警告を生成する CA ControlMinder の問題を修正しました。 AC126SP20904 LINUX all ControlMinder カーネルは gnome セッションの終了を検出し、それが GDM ログアウト イベントであると見なします。GDM で、ログアウト カーネルは GDM セッションに関連付けられた ACEE ハンドラを消去し、ControlMinder は起動時に GDM に対して acee=1 (root) ハンドラを割り当てます。この ACEE は他の root プロセスにも関連付けられているため、ログアウトにより ACEE=1 が削除されると、他の root プロセスが未定義になります。 ルート GDM ログアウト 起動時に LOGINAPPL root プログラムに対して新しい ACEE を割り当てるよう seosd を設定します。 1. GDM(GUI コンソール)を通じて root セッションにログインします。
2. ssh を通じて別の root セッションにログインします。
3. ControlMinder を起動します。
4. root GDM からログアウトします。
5. ssh セッションで以下の手順を行います。
- 5.1 "sewhoami" の実行 - 予期される結果: root
- 5.2 secons -k 19 の実行 - 予期される結果: 他のプロセスでは変更はないが、いくつかの "gdm" プロセスに未定義のユーザが含まれる。
8 3 UNIX エンドポイント ユーザ モード SEOS_syscall のロード中にシステムがクラッシュする CA ControlMinder の問題を修正しました。 AC126SP20920 Solaris Sparc システム クラッシュの原因は、誤った SEOS_syscall カーネル モジュールがロードされ、カーネル関数が不正なポインタにアクセスしたことによるものです。   スクリプトを変更して "OSMIC=c" を設定することで、正しいモジュールがロードされます。次に SEOS_load -u を実行し、SEOS_load を再実行すると "getvar.sh" がコールされ、適切な SEOS_syscall リンクが設定されます。  
9 1 UNIX エンドポイント カーネル モード Tripwire および CA ControlMinder の実行中に ControlMinder でスタック オーバーフローが発生する問題を修正しました。 AC126SP20923
AC126SP20929
Solaris Sparc、Solaris x86 AC および Dtrace が誤った順序でアンフックすると問題が発生します。どちらの製品が先に起動するかによって、システム パニックまたは SEOS_syscall のアンロード不可が発生します。 AC および Dtrace が誤った順序でフックおよびアンフックする 解決方法:
1. SEOS_syscall のアンロード問題に対するマイナー修正は、AC でシステム コール フックが正常に有効化した場合に SEOSF_DISABLE_FAIL フラグをリセットすることです。 
2. メジャー修正は、CA ControlMinder がアンフックする際に Dtrace がアンフックされているかどうかを確認することです。その場合は、replace_sysc ではなく systrace_sysent に格納されている元の関数ポインタをリストアします。この方法によってシステム パニックを回避できます。
回避方法:  
1. 常に ControlMinder を起動した後に Dtrace セッションを実行します。
2. ControlMinder を停止する場合は、すべての Dtrace セッションが終了していることを確認します。ControlMinder が誤った順序で停止している場合は、以下の手順に従います。
a. ControlMinder を再起動します。
b. すべての Dtrace セッションが終了していることを確認します。
c. ControlMinder を停止します。
d. ControlMinder を再起動します。
e. ControlMinder を停止し、SEOS_syscall をアンロードします。             
2 つの問題があります。システム パニックの発生と、SEOS_syscall のアンロードができなくなる問題ですシステム パニックの発生を再現するには、以下の手順に従います。
0. 再起動します。
1. SEOS_syscall のみをロードします。
2. Dtrace スクリプトを実行します。例:
dtrace -n syscall:::entry'/pid == 333/%7B @syscalls[probefunc] = count(); %7D' 333 は inetd の PID です。
3. AC を起動します。
4. Dtrace スクリプトを終了します。
5. ControlMinder を停止します(SEOS_syscall はアンロードしません)。
6. ControlMinder を再起動します。
7. Dtrace スクリプトを再実行します。システム パニックが発生します。

SEOS_syscall のアンロード不可を再現するには、以下の手順に従います
0. 再起動します。
1. ControlMinder を起動します。
2. Dtrace スクリプトを実行します。(上記を参照してください。)
3. AC を停止します(SEOS_syscall はアンロードしません)。
4. Dtrace スクリプトを終了します。
5. ControlMinder を再起動します。
6. Dtrace スクリプトを再実行します。
7. Dtrace スクリプトを終了します。
8. ControlMinder を停止します。
9. SEOS_syscall をアンロードします。アンロードに失敗します。
10 2 Windows エンドポイント ユーザ モード
UNIX エンドポイント ユーザ モード
複数のエンドポイントの +reportagent パスワードを変更するとパスワードが文字化けする CA ControlMinder の問題を修正しました。 AC126SP20915 Windows all ACMQ_Management スタティック ライブラリ内の ACMQCredentialsManagment_pre() は、acmqclient.dat の更新に使用されるプロパティ "CLR_PASSWD" ではなく "OLD_PASSWD" からの値を渡します。   関数 ACMQCredentialsManagment_pre() 内のプロパティ "OLD_PASSWD" を "CLR_PASSWD" に置き換えます。 1. ControlMinder を停止します。
2. selang -l
AC> eu +ReportAgent password(secret) grace- nonative
3. ReportAgent をデバッグ モードで実行します。
ReportAgent.exe -debug 0 -task 1
エラーが生成されます。
[ACMQ TIBCO ERROR]: tibemsConnectionFactory_CreateConnection failed on line: 878 with error: 6; 
4. ControlMinder を起動します。
5. selang
AC> eu +ReportAgent password(secret) grace- nonative
6. ControlMinder を停止します。
7. ReportAgent をデバッグ モードで実行します。
ReportAgent.exe -debug 0 -task 1
同じエラーが表示されます。
11 2 UNAB uxconsole -register コマンドを実行すると「<customer.site> 内のサイトのリストを取得できませんでした」というメッセージが表示される UNAB の問題を修正しました。 AC126SP20909 Unix all uxconsole には 1,000 サイトの制限があり、これは一部のカスタマにとって不十分な数でした。   ページされた LDAP 検索を使用するように uxconsole オブジェクト コードを更新する修正が実装され、1000 サイトの制限はなくなりました。  
12 2 UNAB ユーザが SSH キーを使用してログインできない CA ControlMinder の問題を修正しました。 AC126SP20900 Unix all SSH デーモンによってコア ファイルが作成されます。   通信関数のポインタを逆参照/コールする前にそれが設定されていることを確認します。これにより、設定されていない通信関数の呼び出しを回避できます。  
13 2 UNIX エンドポイント カーネル モード ファイル ルールの変更に GAC マスクが適用されているファイルが含まれている場合に、GAC テーブルがフラッシュされないという問題を修正しました。 AC126SP20901 Unix all     ControlMinder_DCMfileWash() 関数をアクティブ化し、ファイル ルールが変更されたときに呼び出します。  
14 3 UNIX エンドポイント ユーザ モード UNAB のアンインストール後に system-auth シンボリック リンクが実ファイルになってしまう問題を修正しました。 AC126SP20905 LINUX all 製品をアンインストールすると、シンボリック リンクが上書きされて実ファイルに変更されます。シンボリック リンクの確認が必要です。 pam conf がシンボリック リンクである conf_file=$1 行の後に新しい関数 "Check_jump_on_new_linux_pam()" が実装されました。この関数はシンボリック リンクが必要かどうかを確認し、実ファイルの PAM 設定をシンボリック リンクにリストアします。 1. cd /etc/pam.d
2. mv system-auth system-auth-ac
3. ln -s system-auth-ac system-auth
4. ControlMinder をインストールします。
5. ControlMinder をアンインストールします。
予期される結果: system-auth はシンボリック リンクとして残ります。
実際の結果: system-auth は実ファイルになります。
15 3 UNIX エンドポイント ユーザ モード sesudo ユーティリティの警告モードが拡張され、リソースおよびクラスの WARNING モードが検証されるようになりました。
デフォルトでは、トークン "echo_command=yes" がない場合、警告メッセージは出力されません。
AC126SP20894 Unix all        
16 2 Windows エンドポイント ユーザ モード
UNIX エンドポイント ユーザ モード
AgentManager が起動時にクラッシュする CA ControlMinder の問題を修正しました。 AC126SP20896 Windows all
Unix all
VM イメージが正しく設定されていません。   修正を適用して VM イメージを再設定します。  
17 3 Windows エンドポイント ユーザ モード PACL でアスタリスクをプログラム名として定義できるが、実際には PACL として動作しないという ControlMinder の問題を修正しました。 AC126SP20897 Windows all 一般ポリシーとしてアスタリスクを定義できる。   PACL にはアスタリスクを指定しないでください。 1. er FILE c:\temp\share\* owner(nobody) defacc(none) audit(a)
2. auth FILE c:\temp\share\* uid("Administrator") access(all) via(pgm(*))
実際の結果: auth コマンドが成功します。ただし、PACL が存在していても管理者は c:\temp\share\* にアクセスできません。
予期される結果: アスタリスクを含む PACL は追加できません。
18 3 UNIX エンドポイント ユーザ モード PACL でアスタリスクをプログラム名として定義できるが、実際には PACL として動作しないという ControlMinder の問題を修正しました。 AC126SP20898 Unix all 一般ポリシーとしてアスタリスクを定義できる。   PACL にはアスタリスクを指定しないでください。 1. er FILE c:\\temp\\share\\* owner(nobody) defacc(none) audit(a)
2. auth FILE c:\\temp\\share\\* uid("Administrator") access(all) via(pgm(*))
実際の結果: auth コマンドが成功します。ただし、PACL が存在していても管理者は c:\\temp\\share\\* にアクセスできません。
予期される結果: アスタリスクを含む PACL は追加できません。
19 2 Windows エンドポイント ユーザ モード ドメイン ユーザのログイン時に XUSER が作成されない問題を修正しました。システムにログインするユーザが Windows サーバのローカル ユーザの場合にのみ XUSER が作成され、ユーザが Windows サーバと同じドメインまたは異なるドメインに属している場合は XUSER は作成されません。 AC126SP20888 Windows x64 「ログオン セッション ID」が ACEE ハンドル ケースにマップ済みであるため、 XUSER が作成されません。 ユーザがワークステーションにログインすると、「ログオン セッション ID」が ACEE ハンドルにすでにマップされている   1. XUSER/XGROUP およびすべての FILE /GFILE ルールを削除します。
2. ログインします。
3. XUSER が定義されません。
20 3 UNIX エンドポイント ユーザ モード seversion がクラッシュして Segmentation fault エラーが生成される CA ControlMinder の問題を修正しました。
AC126SP20891 LINUX x64 seversion_search() でのバッファ オーバーフロー   ディレクトリへのパスをバイパスし、ループ内で現在の配列インデックスをチェックすることで問題を回避します。 1. Linux x64 RH 5.9 ~ 6.4 上に CA ControlMinder をインストールします。
2. seversion -a /opt/CA/AccessControl/lib を呼び出します。
3. 予期される結果: モジュール名: バージョン+(Min) コンパイル日 ../lib/ N/A.N/A コンパイル日がありません
実際の結果: Segmentation fault(コア ダンプ)
21 4 UNAB UNAB が Grid Control エージェントを含む Solaris にインストールされ、PAM と共に動作するように設定されている場合に、すべてのグリッド コントロール機能は正常に動作するが OS コマンドが正常に実行されない問題を修正しました。 AC126SP20892 Unix all 64 ビット ケース コードのエラー   64 ビット ケース コードが修正され、修正済みの正式な 64 ビット pam_uxauth.so モジュールがアップロードされました。  
22 3 Windows エンドポイント ユーザ モード policyfetcher が seosdb を一時ディレクトリにコピーしようとして、そのディレクトリに対してポリシー スクリプトを実行する(seosdbpolicy_verification が yes に設定されている場合)、CA ControlMinder ポリシー検証の問題を修正しました。その結果、policyfetcher.log にエラーが表示され、ポリシーはデプロイされません。 AC126SP20882 Windows all データベースのバックアップ中に、前回のポリシー検証からの seos.error および seos.audit ファイルが削除されませんでした。 Windows 環境で、2 回目のポリシー デプロイメント時に発生します。最初のデプロイメントでは問題ありません。 seosd.exe に修正を適用するか、または policy_verfication をオフにします。 regedit で、policy_verification = yes に設定します。または
1. シンプルなポリシーを 2 つ作成し、それらに GHNODE を割り当てます。
2. GHNODE にエンドポイントを追加し、そのエンドポイント内の policyfetcher の次のサイクルまで待機します。policyfetcher.log にエラーが表示されます。たとえば、p1 および p2 が作成されるとします。
p1 および p2 を GHNODE TestGrp に割り当てます。次に AC>er GHNODE TestGrp mem(endpoint) を実行します。
2 つのポリシー(p1 および p2)はエンドポイント内の policyfetcher によって取得されます。
以下にエラーを示します:
04:20:23@Mar 17 2013 - verification option: copy the database to C:Program FilesCAAccessControlDatadeploy_check_db
04:20:23@Mar 17 2013 - verification option: failed to copy the database to C:Program FilesCAAccessControlDatadeploy_check_db, rv = 631
23 3 UNIX エンドポイント ユーザ モード policyfetcher が seosdb を一時ディレクトリにコピーしようとして、そのディレクトリに対してポリシー スクリプトを実行する(seosdbpolicy_verification が yes に設定されている場合)、CA ControlMinder ポリシー検証の問題を修正しました。その結果、policyfetcher.log にエラーが表示され、ポリシーはデプロイされません。 AC126SP20883 Unix all データベースのバックアップ中に、前回のポリシー検証からの seos.error および seos.audit ファイルが削除されませんでした。 policy_verification がオンの場合 seosd.exe に修正を適用するか、または policy_verfication をオフにします。 エンドポイントで以下を実行します:
vi seos.ini
policy_verification = yes
DMS__ server でポリシーを作成して、このエンドポイントに割り当てます。
24 3 UNIX エンドポイント ユーザ モード sudo プログラムがリソース警告モードを読み取ってもそれをアクセス ルールに適用しない ControlMinder の問題を修正しました。sudo プログラムは警告内の SUDO クラスをチェックしません。 AC126SP20875 Unix all sudo はアクセスを許可するときに警告モードを適用しません。 警告モードでの sudo ルール sudo ルールに警告モードが含まれる場合、sudo リソースへのアクセスを許可して適切な監査を保存します。 1. sudo ルールを設定します:
AC> er program /opt/CA/AccessControl/bin/sesudo defaccess(x)
AC> nr SUDO rm data('/usr/bin/rm;-rf;') defaccess(n) warning
2. 'test' ユーザとしてログインし、以下のコマンドを実行します:
% ./sesudo -list
rm : /usr/bin/rm;-rf;
$ touch /tmp/test
$ ./sesudo rm -rf /tmp/test
sesudo: '-rf' をパラメータ番号 1 として使用することは許可されていません。
正しい結果: アクセスが許可され、監査レコードの警告が表示されます。
===============================
警告モードでの SUDO クラスもテストします
AC> so class(SUDO) flags+(W)
25 2 UNAB 複数のシステムで uxauthd を実行すると、ログインの認証時にエラー(ID 406823 user.error)が発生する UNAB の問題を修正しました。 AC126SP20876 Unix all SHM セグメントは、Toolgrade 製品の一部である shrdemon プロセスがコールする shrdemon によって削除されます。   uxauthd バイナリをアップロードして、UNAB の sSHM セグメントにアタッチされているプロセスの数を 1 に保持します。  
26 3 UNIX エンドポイント ユーザ モード PMD が localhost との接続を失う CA ControlMinder の問題を修正しました。 AC126SP20877 Unix all seagent exit ログインで uid が見つからないというコーディングの問題によって認証に失敗します。 再現手順を確認してください。この問題を再現するには AC>env pmd を実行する必要があります。 回避策は、"host localhost" を再実行してデータベースに再接続し、seagent exit の uid を取得することです。 1. root または CM 管理者としてログインします
2. AC>env Unix
AC(UNIX)>nu user01,
AC(UNIX)>ng TESTGRP
AC(UNIX)>join user01 group(TESTGRP)
AC(UNIX)> env seos
AC> exg TESTGRP admin
AC> auth terminal hostname.ca.com xgid(TESTGRP) access(all)
3. user01 としてログインし、selang を実行します。
4. AC>env pmd
5. AC>env seos
AC>find user ----> You are not connected to any pmdb.
上記のメッセージは表示されるべきではありません。
27 3 UNIX エンドポイント ユーザ モード Linux X64 システム上の ControlMinder で install_base スクリプトがパラメータなしで実行された場合にエラー メッセージが表示される問題を修正しました。 AC126SP20878 All 両方の tar.Z ファイルが配置されており、X64 システムではいずれのファイルも有効です。 このスクリプトを Linux X64 システムで実行し、x86 および X64 パッケージの両方が配置されている場合 X64 システムでは、コマンド ラインでパラメータを入力し(./install_base _LINUX_X64_126.tar.Z)、install_base スクリプトによる判断を不要にします。 Linux X64 システムで、 _LINUX_126.tar.Z および _LINUX_X64_126.tar.Z を同じディレクトリに配置します。
引数なしで ./install_base を実行すると、以下のようなエラー メッセージが表示されます。
エラー: インストール ファイルが見つかりません
エラー: ./ に Linux インストール ファイルがありません
(./_LINUX_???.tar.gz)
インストールを中止しています
28 2 UNAB UNAB PAM が Linux authconfig と競合して UANB PAM フックが失われる UNAB の問題を修正しました。 AC126SP20865 LINUX all AS 5.x および 6.x 上の authconfig ユーティリティが system-auth (および存在する場合は password-auth)を再書き込みし、UANB PAM フックが失われます。 authconfig が UNAB PAM フックと競合する UNAB PAM インストール スクリプトは、system-auth (および存在する場合は password-auth)を system-auth-cm へのリンクに変更します。これにより、UNAB PAM フックは authconfig によってステップ オーバーされなくなり、authconfig の変更は、system-auth-ac (および存在する場合は password-auth-ac)内に反映されます。authconfig の変更を system-auth (および存在する場合は password-auth)にマージするツールを導入しました。 UNAB のインストール後に 'authconfig --update' を実行します。system-auth(および存在する場合は password-auth)で UNAB PAM フックが発生しなくなります。
29 3 Windows エンドポイント ユーザ モード CA ControlMinder RDP ログイン セッションの切断に 20 ~ 30 秒かかる問題を修正しました。 AC126SP20869 Windows all TERMINAL ルール auth access(none) を適用すると RDP 接続をクローズする前に遅延が発生します。   ターミナル サービスのスレッドが不要なセッションのホスト名を解決しないように以前の修正を適用します。  
30 3 Windows エンドポイント ユーザ モード USER クラスに見つかったユーザを XUSER クラスに追加すると、誤った成功監査ログ レコードが生成される CA ControlMinder の問題を修正しました。 AC126SP20870 Windows all ユーザが異なるクラスに存在するかどうかにかかわらず、常に成功が返されます。 AC ユーザを追加するときに同じユーザが xuser クラスにすでに存在する
OS ユーザを追加するときに同じユーザが user クラスにすでに存在する
  1. ControlMinder を OS ユーザを有効にしてインストールします。
2. user クラスのユーザを作成します。
AC> eu (user) audit(all)
(localhost)
Successfully created USER ENUadministrator
3. xuser クラスで同じユーザを作成します。
AC> exu () audit(all)
(localhost)
ERROR: Failed to create XUSER
ERROR: USER (user)r already exists in database.

予期される結果: exu コマンドの監査レコードが失敗します。
実際の結果: exu コマンドの監査レコードが成功します。
25 Feb 2013 19:34:17 S UPDATE XUSER (user)
31 3 UNIX エンドポイント ユーザ モード USER クラスに見つかったユーザを XUSER クラスに追加すると、誤った成功監査ログ レコードが生成される CA ControlMinder の問題を修正しました。 AC126SP20870
AC126SP20871
Unix all ユーザが異なるクラスに存在するかどうかにかかわらず、常に成功が返されます。 AC ユーザを追加するときに同じユーザが xuser クラスにすでに存在する
OS ユーザを追加するときに同じユーザが user クラスにすでに存在する
  1. ControlMinder を OS ユーザを有効にしてインストールします。
2. user クラスのユーザを作成します。
AC> eu (user) audit(all)
(localhost)
Successfully created USER ENUadministrator
3. xuser クラスで同じユーザを作成します。
AC> exu () audit(all)
(localhost)
ERROR: Failed to create XUSER
ERROR: USER (user)r already exists in database.

予期される結果: exu コマンドの監査レコードが失敗します。
実際の結果: exu コマンドの監査レコードが成功します。
25 Feb 2013 19:34:17 S UPDATE XUSER (user)
32 2 UNIX エンドポイント ユーザ モード syslog 上にある serevu からの全般メッセージが ERR カテゴリになるという、AIX 環境での CA ControlMinder 12.6 SP1 の問題を修正しました。 AC126SP20872 Unix all seagent ハンドシェイクの準備ができていないため、CRIT ハンドシェイク失敗メッセージが作成されます。 fips のみで CM をインストールする 修正(T4CC213)の実装により、seagent とのハンドシェイクを呼び出す前に serevu の起動を 60 秒遅延させて CRIT ハンドシェイク失敗メッセージが表示されないようにしました。 1. ControlMinder を OS ユーザを有効にしてインストールします。
2. user クラスのユーザを作成します。
AC> eu (user) audit(all)
(localhost)
Successfully created USER ENUadministrator
3. xuser クラスで同じユーザを作成します。
AC> exu () audit(all)
(localhost)
ERROR: Failed to create XUSER
ERROR: USER (user)r already exists in database.
予期される結果: exu コマンドの監査レコードが失敗します。
実際の結果: exu コマンドの監査レコードが成功します。
25 Feb 2013 19:34:17 S UPDATE XUSER (user)
33 2 UNIX エンドポイント ユーザ モード モニタリング ツールが selogrd によるプライベート メモリの使用を検出する CA ControlMinder の問題を修正しました(6 時間に 132 KB のレート)。 AC126SP20859 Unix all 共有ライブラリが解放されないため、selogrd でメモリ リークが発生します。 共有オブジェクト(SNMP 共有オブジェクト)を使用するように selogrd が設定されている 共有オブジェクト(SNMP)を使用するように selogrd を設定すると、再起動時に共有ライブラリが解放されません。 1. ./etc/selogrd.ext を以下の内容で作成します。
cat snmp /opt/CA/AccessControl/lib/snmp.so
2. ./log selogrd.cfg を以下の内容で作成します。
CACM_SNMP_Warning
snmp <hostname>
include Class(*FILE*) Code(W).
<dot>
CACM_SNMP_Deny
snmp <hostname>
include Class(*FILE*) Code(D).
exclude access(*Read*).
exclude access(*Exec*).
exclude access(*Chdir*).
<dot>
3. selogrd を実行します。
4. ps -axl を使用して selogrd のプロセス サイズを定期的に確認します。
34 3 Windows エンドポイント ユーザ モード XGROUP に日本語の文字列を使用する CA ControlMinder カスタマが、secons -checkSID -groups コマンドで文字化けした文字列を受け取る問題を修正しました。 AC126SP20860 Windows all オブジェクト名が UTF8 からマルチバイトに変換されていませんでした。 クラスのオブジェクト名がマルチバイトである オブジェクト/アカウント名を UTF8 からマルチバイトに変換します。 1. いくつかのクラス(ユーザ、グループなど)に日本語のオブジェクトを作成します。
2. dbmgr -dump l <class> を実行します。
3. オブジェクト名が文字化けしていないことを確認します。
35 3 Windows エンドポイント ユーザ モード XGROUP に日本語の文字列を使用する CA ControlMinder カスタマが、secons -checkSID -groups コマンドで文字化けした文字列を受け取る問題を修正しました。 AC126SP20862 Windows all アカウント名が UTF8 からマルチバイトに変換されていませんでした。 日本語の xgroup が seosdb に作成される オブジェクト/アカウント名を UTF8 からマルチバイトに変換します。 1. いくつかのクラス(ユーザ、グループなど)に日本語のオブジェクトを作成します。
2. dbmgr -dump l <class> を実行します。
3. オブジェクト名が文字化けしていないことを確認します。
36 2 UNIX エンドポイント カーネル モード アプリケーション アプライアンス上で CA ControlMinder を起動するとエラー メッセージが表示される CA ControlMinder の問題を修正しました。 AC126SP20863 LINUX x64 サポートされていないアプライアンス設定。   アプライアンスをサポートされているカーネル バージョンにアップグレードします。  
37 2 UNIX エンドポイント ユーザ モード UNAB PAM インストーラが authconfig との競合により pam_seos.so バイナリを含むファイルを更新しない問題を修正しました。 AC126SP20864 LINUX all この問題は、AS 5.x および 6.x 上の authconfig ユーティリティが system-auth (および存在する場合は password-auth)を再書き込みし、UANB PAM フックが失われた場合に発生します。 authconfig が CM PAM フックと競合する UNAB PAM ポスト インストール スクリプトを導入し、ControlMinder が 'authconfig' による PAM 設定ファイルの変更と共存できるようにします。このスクリプトは、authconfig の変更を system-auth (および存在する場合は password-auth)にマージして system-auth-cm へのリンクにします。これにより、UNAB PAM フックは authconfig によってステップ オーバーされなくなり、authconfig の変更は、system-auth-ac (および存在する場合は password-auth-ac)内に反映されます。README ファイルにスクリプトの使用方法が説明されています。 CM のインストール後に 'authconfig --update' を実行します。system-auth(および存在する場合は password-auth)で CM PAM フックが発生しなくなります。
38 3 UNIX エンドポイント ユーザ モード シェル名が正しく設定されていない場合に SSH を使用する Active Directory ユーザがログインに 4 ~ 10 分かかる UNAB の問題を修正しました。 AC126SP20850 Unix all KBL が有効な場合、DNS 内のクライアント IP アドレスのルックアップが試行され、KBL 監査マネージャが停止します。 kbl_enable = yes
システムで /bin/ksh93 が使用されている
問題は、ログインに長時間かかることです。
ログイン プロセスで cmdlog のみが実行されるように、新しい cmdlog の設計が実装されました。 RedHat Linux x64 ビット システムで、デフォルト シェルを /bin/ksh93 にして kbl_enabled = yes に設定します。
39 2 UNIX エンドポイント ユーザ モード syslog で serevu からの全般メッセージが ERR カテゴリになるという、AIX での CA ControlMinder の問題を修正しました。 AC126SP20872
AC126SP20851
Unix all seagent ハンドシェイクの準備ができていないため、CRIT ハンドシェイク失敗メッセージが作成されます。   修正(T4CC213)の実装により、seagent とのハンドシェイクを呼び出す前に serevu の起動を 60 秒遅延させて CRIT ハンドシェイク失敗メッセージが表示されないようにしました。 fips のみで CM をインストールします。
seos.ini で "serevu = yes" を設定します。
CM を起動して syslog を確認します。
40 2 UNIX エンドポイント ユーザ モード クラス B およびクラス C として定義されている 2 つの HOSTNET ルールが存在する場合に、クラス B は見つかるがクラス C は BIG ENDIAN で見つかるという ControlMinder の問題を修正しました。 AC126SP20843 Unix all マスクに対する ENDIAN がチェックされておらず、すべてのプラットフォームで同じように処理されていました。 1. BIG ENDIAN
2. クラス B およびクラス C として定義されている 2 つの HOSTNET ルールが存在する
  ルール:
editres HOSTNET ("1025000") audit(FAILURE) owner('nobody') mask(255.255.0.0) match(10.250.0.0)
authorize HOSTNET ("1025000") access(NONE) service(*)
editres HOSTNET ("1025030") audit(FAILURE) owner('nobody') mask(255.255.255.0) match(10.250.3.0)
authorize HOSTNET ("1025030") access(all) service(*)

1. HOST クラスを有効化します。
2. 10.250.3.x からログインします。

予期される結果: Access allowed by HOSTNET ("1025030")
実際の結果: Access denied by HOSTNET ("1025000")
41 2 Windows エンドポイント ユーザ モード クラス B およびクラス C として定義されている 2 つの HOSTNET ルールが存在する場合に、クラス B は見つかるがクラス C は BIG ENDIAN で見つかるという ControlMinder の問題を修正しました。 AC126SP20845 Solaris Sparc マスクの優先順位が正しくありません。 クラス B およびクラス C として定義されている 2 つの HOSTNET ルールが存在する   ルール:
editres HOSTNET ("1025000") audit(FAILURE) owner('nobody') mask(255.255.0.0) match(10.250.0.0)
authorize HOSTNET ("1025000") access(NONE) service(*)
editres HOSTNET ("1025030") audit(FAILURE) owner('nobody') mask(255.255.255.0) match(10.250.3.0)
authorize HOSTNET ("1025030") access(all) service(*)

1. HOST クラスを有効化します。
2. 10.250.3.x からログインします。

予期される結果: Access allowed by HOSTNET ("1025030")
実際の結果: Access denied by HOSTNET ("1025000")
42 3 UNIX エンドポイント ユーザ モード cmdlog が誤った ut_id を生成し、KBL エージェントが wtmp ファイルを誤った ID で更新するという UNAB の問題を修正しました。2 つのログイン セッションに同じ ut_id があります。1 つのセッションが終了すると、同じ ID を持つもう 1 つのセッションに影響します。 AC126SP20846 AIX cmdlog が誤った ut_id を生成し、KBL エージェントが wtmp ファイルを誤った ID で更新します。2 つのログイン セッションに同じ ut_id があります。1 つのセッションが終了すると、同じ ID を持つもう 1 つのセッションに影響します。 KBL が有効 kbl_build_new_utmp() は utmp 行から一意の ID を作成します。 1. seos.ini で kbl_enabled = yes を設定します。
2. CM を起動します。 
3. root としてログインします。
(other host)> ssh my_host -l root
(my host)# who -m
root pts/4 Feb 27 20:04 (other host)
4. test としてログインします。
> ssh ismeax14 -l test
(my host)$ who -m
test pts/6 Feb 27 20:05 (other host)
5. test をログアウトします。
6. root の "who -m" を確認します。
(my host)# who -m
root pts/4 <------------------ 日付と端末が表示されません
予期される結果: 手順 3 と同じ出力
43 3 UNIX エンドポイント ユーザ モード EnablePolicyCache が 'yes' に設定されている場合に AIX 上での起動に失敗する ControlMinder の問題を修正しました。 AC126SP20847 Unix all ポリシー キャッシュが存在しないプロパティを取得しています。0 バイトのメモリを割り当てようとすると、SDBIO レイヤは SDBIO_E_ALLOCFAILED を返します。 "EnablePolicyCache=yes" プロパティが存在しない場合(DBIDX_E_NOTFOUND)、0 バイトを割り当てる前に sdbio は 0 を返します。 seos.ini で "EnablePolicyCache=yes" を設定します。
CM を起動します。
結果: CM の起動に失敗します。
44 2 UNIX エンドポイント カーネル モード マウント ポイントを新しいルートとして使用して chroot コマンドを実行するとエラー メッセージが表示される ControlMinder の問題を修正しました。 AC126SP20848 LINUX all Invest. notes および問題のサマリを参照してください。 この問題は、Linux カーネル 3.0 以降で、chroot コマンドの新しいルートがマウント ポイントであるときに発生します。 vfsmount struct アクセス用の正しいロックを識別します。  
45 3 UNIX エンドポイント カーネル モード seosd トレースが有効である場合に、一般的なシェル スクリプトが保護されたプログラムとして誤って認識される ControlMinder の問題を修正しました。 AC126SP20834 Unix all EXEC が seosd に送信される場合にそれがシェル スクリプトであるかどうかチェックされていました。 seosd トレースが有効、
ファイル pgm を介したアクセスが許可されている、
pgm を介した sesu によるファイル アクセスが実行される、
一般的なシェル スクリプトから sesudo がコールされる
  1. 作業ディレクトリ/ファイルを作成します。
mkdir /tmp/test
chmod 777 /tmp/test
touch /tmp/test/date.log
2. シェル スクリプト test.sh および sesudo.sh を作成します。
/tmp/test.sh
#!/bin/sh
echo `date` > /tmp/test/date.log
/tmp/sesudo.sh
#!/bin/sh
/opt/CA/AccessControl/bin/sesudo test
3. 権限を付与します。
chmod 777 /tmp/sesudo.sh
chmod 777 /tmp/test.sh
4. AC ポリシーを作成します。
eu murte01 password(murte01)
editres FILE ("/tmp/test/*") audit(ALL) defacc(READ) owner('root')
authorize FILE ("/tmp/test/*") acc(a) id('*') via(pgm(/tmp/test.sh))
er program /opt/CA/AccessControl/bin/sesudo defacc(x)
editres SUDO ("test") audit(FAILURE) comment('/tmp/test.sh;;*') defacc(NONE) owner('nobody') targuid('root')
authorize SUDO ("test") acc(EXECUTE) uid('murte01')
5. sesudo.sh を実行します。
sesudo.sh

予期される結果: 実行に成功します。
実際の結果: "/tmp/test/*" へのファイル アクセスが拒否されます。
46 3 UNIX エンドポイント ユーザ モード パスワードなしで作成されたユーザ アカウントが無効にならない ControlMinder の問題を修正しました。 AC126SP20838 Unix all   この問題を再現するには、/etc/shadow 内にあるユーザのパスワードを * のみにします。 seagent に修正を適用します。 AC>eu user01 Unix vi /etc/shadow を実行し、暗号化フィールドに * 文字のみがあることを確認します。
AC>eu user01 enable Unix vi /etc/shadow を再実行すると、* が削除されてパスワード フィールドが空になっています。
47 2 Windows エンドポイント ユーザ モード バッファ サイズが不十分(255 バイト)であるために、URL の数が 6 を超える場合に Distribution_Server の値が ReportAgent によって切り捨てられる ControlMinder の問題を修正しました。 AC126SP20840 Windows all     ServerURL のサイズを 2048 バイトに拡張し、現在アクティブなサーバ URL を取得するための tibems 関数を追加します。  
48 2 UNIX エンドポイント カーネル モード readdir() をコールする realpath コードでループを回避するためのコール数制限を行っていなかったために Java プロセスが応答を停止する ControlMinder の問題を修正しました。 AC126SP20825 HPUX PA-RISC、HPUX IA64 readdir() をコールする AC realpath コードで、ループを回避するためのコール数制限を行っていませんでした。 AC のアンロードをブロックする Java プロセス    
49 3 UNIX エンドポイント カーネル モード SPECIALPGM FULL バイパス フラグが無視される問題を修正しました。 AC126SP20817 Unix all インターセプトの開始からカーネル プロセス テーブルへのプッシュまでの間には一定の時間があります。一部のプロセスでは、カーネル プロセス テーブル内にエントリが作成される前に、CM ハンドラに入ります。その結果、プロセスのバイパス フラグが見つからなくなります。 SMP machine、specaialpgm フル バイパス、CM の起動 1. specialpgm バイパス フラグを検出するように ProcServer_1st_round2kernel() を変更します。
2. カーネル関数 SEOS_procserver_update() を変更して、カーネル内に保存されたフラグを更新します。
この問題は最初に HPUX 環境で発見されました。プロセスがバイパスされない問題が再現されました。
テスト用に作成したプログラム /opt/rational/clearcase/etc/albd_server で、setuid コールを実行する 200 のプロセスを生成しました。
プログラムは DB 内のバイパスに対して定義されました。
AC> nr specialpgm /opt/ibm/RationalSDLC/clearcase/hp11_ia64/etc/db_server pgmtype(FULL)
/opt/rational/clearcase/etc/albd_server の開始後、一部の子プロセスがトレースに表示されました。
50 3 UNIX エンドポイント カーネル モード デバイス保護のカーネル ハンドラが無効なエラーを返す ControlMinder の問題を修正しました。 AC126SP20818 Solaris Sparc デバイス保護のカーネル ハンドラが無効なエラーを返します。 CM のデバイス保護が有効 mknod ハンドラで FIFO デバイスを無視します。 seos.ini で "file_rdevice_max = 100" を設定します。
CM を起動します。
mkfifo /tmp/myfifo
mkfifo: No such device

予期される結果: エラーは表示されません。
51 3 UNAB 引用符(")を使用してトークンが設定されているために、起動時に CASHCOMP の値が使用されないという UNAB の問題を修正しました。 AC126SP20822 LINUX x64        
52 2 UNIX エンドポイント カーネル モード Red hat 6 ワークステーションが認識されずモジュールをロードできない ControlMinder の問題を修正しました。 AC126SP20806 LINUX all ワークステーションが認証されていませんでした。このパッケージでサポートが追加されました。   ワークステーションを検出するように getvar.sh が更新されました。  
53 2 UNIX エンドポイント カーネル モード   AC126SP20793 Solaris Sparc        
54 3 Windows エンドポイント ユーザ モード リモート デスクトップ セッション中に、猶予カウントがゼロに到達しても[ロックアウト]画面の代わりに[有効期限切れのパスワード]画面が表示される ControlMinder の問題を修正しました。 AC126SP20798 Windows all 特定の条件の端末認証では、猶予カウントが調整されます(後の減少分に対して増加分 + 1 となります)。以前の端末認証による猶予カウントがすでにゼロである場合でも、この調整により seosd は猶予カウントの拒否に失敗します。 ユーザの猶予カウントがゼロであるときに RDP ログインを実行する   ボックス B で AC をインストールして再起動します。
AC を停止します。レジストリの GraceCountForMessage を 3 に設定します。
TermSrvTimeout を 10000 (10 秒)以上に設定します。
AC を起動します。
AC> so class+(PASSWORD)
AC> nu test01 password(password)
AC> cu test01 grace(0)
ボックス A から ボックス B にユーザ "test01" で RDP ログインを実行します。

予期される結果: "The referenced account is currently locked out"
実際の結果: "Your password has expired and must be changed"
55 3 UNIX エンドポイント ユーザ モード ControlMinder 5.1 が実行されているエンドポイントへの接続を試行するとエラー メッセージが表示される CA ControlMinder の問題を修正しました。 AC126SP20765 Unix all この問題の原因は AC126SP11253 です。 1 つ目のエンドポイントに 12.6 SP1 をインストールし、もう 1 つのエンドポイントに 5.1 をインストールして、12.6 sp1 から 5.1 への接続を試行する ファイルを seagent、sepmdd、および selang に適用してください。 1 つ目のエンドポイントに 12.6 sp1 をインストールします。
もう 1 つのエンドポイントに 5.1 をインストールします。(このバージョンは現在サポートされていません。)
エンドポイント 12.6 sp1 にログオンし、AC>host endpoint51 を実行します。
endpoint51 で、TERMINAL クラスが無効になります。AC>so Class-(TERMINAL)
以下のようなエラーが表示されます。
エラー: データをアンパックできませんでした(クライアント コマンド) (10075)
56 3 UNIX エンドポイント ユーザ モード seos.ini ファイル内の suid_cache_max トークンの説明を修正しました。 AC126SP20766 Unix all        
57 2 UNIX エンドポイント カーネル モード ControlMinder の SEOS_syscall でのメモリ処理に関する問題を修正しました。 AC126SP20768 Unix all コードに問題がありました。 親が存在した後に子が親のメモリへのアクセスを試行する メモリが動的に割り当てられ、親のメモリが子にコピーされるようにコードが修正されました。  
58 2 UNIX エンドポイント カーネル モード CentOS 6.2 (2.6.32-220.el6.i686)上で SEOS_load を使用してエージェントを開始しようとすると失敗し、dmesg にエラーが表示されないという ControlMinder の問題を修正しました。 AC126SP20750 LINUX x86 SEOS_systable_init() は使用するべきではなく、AC127 以降では完全に削除される必要があります。 CentOS 6.2 (2.6.32-220.el6.i686)上でカーネル モジュールのロードに失敗する 回避策はありません。解決策は修正を適用することです。 CA ではこの問題を再現できませんでした。カスタマのサイトで、CentOS 6.2 (2.6.32-220.el6.i686)上で SEOS_load を使用してロードを試行すると失敗し、dmesg にエラーが表示されませんでした。
59 2 UNIX エンドポイント ユーザ モード seaudit -n パラメータを実行すると応答に遅延が発生する、ControlMinder のパフォーマンス問題を修正しました。 AC126SP20752 Unix all seaudit は各 _CRONJOB_ の IP アドレスを取得しようとします。 _CRONJOB_ を含む多数の LOGIN/LOGOUT レコード    
60 3 UNIX エンドポイント ユーザ モード 8 文字を超えるユーザ名を使用すると、パスワードの更新に使用される API 関数でエラーが発生するという AIX 上での ControlMinder の問題を修正しました。 AC126SP30099 Unix all AIX システムの API 関数は 8 文字を超えるユーザ名をサポートしていません。 8 文字を超える長いユーザ名をサポートしない AIX システム   8 文字を超えるユーザ名を使用します。
AC>eu longusername01 password(xxxxxx)
/etc/security/passwd を確認します。シャドウ パスワードが更新されていません。
61 1 UNIX エンドポイント カーネル モード インターセプト コードが、承諾システム コールに NULL として渡された *socket_addr および *socket_len の処理に失敗する CA ControlMinder の問題を修正しました。 AC126SP30007 HPUX PA-RISC、HPUX IA64 AC のインターセプト コードは、承諾システム コールに NULL として渡された *socket_addr および *socket_len の処理に失敗します。
SEOS_use_streams が no、SEOS_network_intercept_type が 2 に設定された AC が実行されている場合、接続および承諾システム コールの両方がインターセプトされます。接続および承諾システム コールには、ソケット接続を確立する役割があります。
start_all を実行して ControlMinder を起動すると、ハングアップしたように見えます。Naming_Service の開始時にブロックされているためです。Naming_Service の開始時にソケットが作成され、接続リクエストをリスンします。受信接続を待機および承諾するために承諾システム コールが呼び出されます。承諾システム コールの呼び出し時には、リスンしているソケット記述子、受信接続のソケット情報を受け取る領域のアドレス、およびソケット領域の長さを表すアドレスを指定する必要があります。しかし、Naming_Service では承諾システム コールの呼び出しに正しい方法が使用されません。クライアントのソケット情報を受け取るためのアドレスが指定されません。これによって、任意の接続を承諾することになります。
問題の根本原因は、AC が承諾コールをインターセプトするときに入力パラメータをチェックし、NULL ポインタであることを検出して EFAULT エラーを返すことにあります。承諾コールに失敗すると、Naming_Service は短い間をおいて再試行します。再試行を繰り返すことで待機時間は徐々に長くなります。AC が停止してシステム コールをインターセプトしなくなるまで、このサイクルが無期限に繰り返されます。
この修正は、AC インターセプト コード内の NULL ポインタを無視し、システム コール関数が NULL ポインタを処理できるようにします。
  my_accept、my_accept2、my64_accept、および my64_accept2 の NULL ポインタを処理します。 ControlMinder がセットアップされたシステムで以下の操作を実行します。
1. SEOS_use_streams=no、SEOS_network_intercept_type=2 で AC を起動します。
2. ControlMinder 管理者として start_all を実行し、ControlMinder を起動します。
3. パスワードを入力すると、ハングアップします。
AC を停止すると、ControlMinder が正常に起動します。
ControlMinder のステータスを確認するには、check_all を実行します。
ControlMinder を停止するには、stop_all を実行します。
62 2 UNIX エンドポイント ユーザ モード pam.conf.uxauth.bk に '#_uxauth' への参照が含まれている問題を修正しました。 AC126SP30128 Unix all        
63 3 UNIX エンドポイント ユーザ モード ReportAgent が KBL 監査レコードでコア ダンプを生成して失敗する UNAB の問題を修正しました。 AC126SP30130 Unix all Invest. notes を参照してください。   "Raw" タイプを検出する条件に szKBLSessionType および szKBLSessionID のチェックを追加します。  
64 2 Windows エンドポイント ユーザ モード 端末の名前または IP アドレスにワイルドカードを含む TERMINAL クラス ルールが認証結果で無効になる ControlMinder の問題を修正しました。 AC126SP30122 Windows all Invest. notes を参照してください。   汎用リソース テーブル内のクライアントのホスト名または IP に一致する TERMINAL オブジェクト(ワイルドカードを含むオブジェクト)の検索が追加されました。 CM のエンドポイント A で以下を実行します:
1. CM を停止し、HKEY_LOCAL_MACHINESOFTWAREComputerAssociatesAccessControlSeOSD で TerminalSearchOrder = name,RDPIP を指定します。
2. ユーザ tuser を作成します。
3. tuser でホスト B から A への RDP ログインを確認します。
4. CM を起動します。
5. CM ユーザ tuser を作成します。
eu tuser owner(nobody)
6. ワイルドカードを使用して、ホスト B の IP に対する TERMINAL ルールを以下のように作成します:
er terminal(130.119.179.*) owner(nobody) defaccess(none)
ホスト B からの RDP 接続を確認します。
予期される結果: ログインが拒否されます。
実際の結果: ログインが許可されます。
65 3 UNIX エンドポイント ユーザ モード KBL が有効な場合にコマンド "logout" が失敗する ControlMinder の問題を修正しました。 AC126SP30112 Unix all     cmdlog 内でユーザからの入力が "logout" の場合にメイン ループを break で終了します。 問題は再現されましたが、異なるエラーが表示されます。
1. CM をインストールします。
2. seos.ini で kbl_enabled=yes を設定します。
3. システムにログオンします。
4. # logout
3004-064 You must be the login user.
66 2 UNIX エンドポイント ユーザ モード 起動時にエラー メッセージが表示される ControlMinder の問題を修正しました。 AC126SP30098 LINUX s390 agent_manager.sh で
1. OSMAJ が未定義
2. report_agent.sh と同じ /tmp/_jver ファイルが使用され、削除される
    Linux s390 上で、レポート送信および PUPM 用に CM を設定します。
CM を起動し seload を実行して出力を確認します。
67 3 Windows エンドポイント ユーザ モード コマンド "dmsmgr -config- -endpoint" の実行で削除不可のレコードを削除しようとしてエラー メッセージが表示される ControlMinder の問題を修正しました。 AC126SP30086 Windows all       1. CM を実行します。
2. "dmsmgr -config -endpoint" を実行します。
3. "dmsmgr -config- -endpoint" は以下を出力します。
(localhost)
エラー: データベースからのレコードの削除に失敗しました
レコードは削除不可としてマークされています

さらに失敗したコマンドの監査レコードが出力されます:
"F UPDATE HNODE tzual01w3srv\Administrator 305 0 __local__
tzual01w3srv rmres HNODE __local__"
68 3 UNIX エンドポイント カーネル モード エージェントの実行中にユーザが chmod コマンドを実行できない ControlMinder の問題を修正しました。 AC126SP30090 LINUX s390 CM カーネル ラッパー my_execve32() が /bin/chmod のファイル名の取得に失敗します。 s390x 64-bit RH6 または SUSE 11 上の 32 ビット java 環境 入力ファイル名のポインタをマスクするように my_execve32() が修正されました。 32 ビット java 環境で、"chmod <test/dir>" をコールする単純な java コードを作成します。
CM を起動します。
java を実行すると以下のエラーが表示されます:
Cannot run program "chmod": java.io.IOException: error=14, Bad address
予期される結果: エラーは表示されません
69 3 UNIX エンドポイント ユーザ モード Solaris 11 上で support.sh スクリプトを実行するとエラー メッセージが表示される ControlMinder の問題を修正しました。 AC126SP30080 Unix all Invest. notes を参照してください。 Solaris 11 Solaris 11 では、標準の /usr/bin/ps コマンドは UCB バージョンの ps のすべてのオプションをサポートしています。
Solaris 11 で、/usr/ucb/ps の代わりに /usr/bin/ps を使用します。
Solaris 11 に showrev コマンドが存在しない場合は、実行しないでください。showrev で表示されるすべての情報は、"uname -a" コマンドで取得できます。
Solaris 11 システムで、"support.sh" を実行します。
70 3 UNIX エンドポイント ユーザ モード シャットダウン時にエージェントがクラッシュする ControlMinder の問題を修正しました。 AC126SP30081 Unix all 終了プロシージャを 2 度実行します。 不明 seosd の終了を 2 度入力しないでください。  
71 3 UNIX エンドポイント ユーザ モード selang でコマンドを入力するとエージェントがクラッシュする ControlMinder の問題を修正しました。 AC126SP30074 Unix all Invest. notes を参照してください。 末尾に空白がある 後で free() をコールするためにメモリ ポインタを保存します。  
72 2 UNIX エンドポイント ユーザ モード issec コマンドで ControlMinder に属する 'watchdog' という名前のプロセスが表示される ControlMinder の問題を修正しました。 AC126SP30071 Unix all        
73 2 Windows エンドポイント ユーザ モード 標準以外のネットワーク設定を持つシステム上でメモリ破損が発生する ControlMinder の問題を修正しました。名前解決に NetBIOS over TCP/IP を使用するネットワークで、hosts ファイル内にリモート マシンの FQDN を含まない "IP NETBIOSNAME" のような指定がある場合に問題が発生します。 AC126SP30051 windows all auth_GetObjWithFQDN() は以下を呼び出します:
strcpy((char *)originalObjectName, podf-=^szOName);
これはメモリ上のヒープに割り当てられた以下のようなバッファの末尾に書き込みます。
originalObjectName は NetBIOS 名 "BBB00666" のサイズに割り当てられていました。RDP クライアント ホストはこのネットワーク設定の AC エンドポイント上でこの NetBIOS 名に解決されていました。
podf->szOName バッファには、TERMINAL オブジェクト定義からのより長い "BBB00666.corp.orix.local" FQDN が含まれていました。
  originalObjectName で指定されたメモリを、事前定義された szOName バッファ サイズに一致するサイズに再割り当てすることで修正されました。 リモート ホストから TERMINAL ルールによって認可された AC エンドポイントに RDP 接続/切断を繰り返します。メモリ破損が発生するシステムは、名前解決に NetBIOS over TCP/IP を使用する標準以外のネットワーク設定で、hosts ファイル内にリモート マシンの FQDN が含まれていない "IP NETBIOSNAME" のような指定が含まれています。一般的なネットワーク設定を持つホスト上でテストした場合、問題は検出されませんでした。
74 2 UNIX エンドポイント カーネル モード X86_64 Solaris での問題です。modctl システム コールが無効なリターン コードを返し、AC は SEOS_syscall カーネル モジュールがロードされているかどうかを判別できません。この場合、AC は /etc/name_to_sysnum ファイル内の SEOS_syscall エントリの有無を調べて SEOS_syscall がロードされているかどうかを判別します。/etc/name_to_sysnum 内にあるこの SEOS_syscall エントリが、SEOS_syscall モジュールのロード ステータスと同期していない場合、問題が発生します。 AC126SP30053 Solaris x86 SEOS_syscall エントリが SEOS_syscall のステータスと同期しない理由は、RC スクリプト、K28SEOS、および S68SEOS が SEOS_syscall エントリを /etc/name_to_sysnum にプレースホルダとして挿入し、他の製品がこのシステム コール スロットを使用できないためです。 Invest. notes を参照してください。 S68SEOS および K28SEOS での name_to_sysnum の処理を削除します。 1. AC をインストールします。
2. 必要に応じて AC を開始して停止します。
3. AC カーネルがロードされているかどうかにかかわらず、システムを再起動します。
4. 起動中または起動後に AC を開始しないでください。
5. デフォルト シェルとして Korn Shell を使用するユーザ アカウントで、システムへの telnet 接続を試行します。
6. 接続が拒否されます。
75 2 Windows エンドポイント カーネル モード DAYTIMERES オプションが TCP 受信接続で "restrictions(days(AnyDay) time(0100:1000))" を適用しない ControlMinder の問題を修正しました。 AC126SP30043 Windows all 説明を参照してください。 説明を参照してください。 シナリオを正しく処理するようにドライバ コードが修正されました。  
76 3 UNIX エンドポイント ユーザ モード seaudit -a コマンドによりユーティリティがクラッシュし、デフォルトの -tr によりユーティリティがデータを継続的に処理する ControlMinder の問題を修正しました。 AC126SP30045 Unix all 1. NULL ポインタ dbx) のデータ参照を試行します:
[1] rle_ExpandBuff(src = (nil), size = 140, dest = 0x106b20, rectype = 5), line 138 in "rle.c"
=>[2] auditlog_ReadNextRecord(pFilter = 0x106638, plfAudit = 0x11725c, offs = 0xffbfd738, plr = 0xffbfd698, data = 0x106b20, pDataSize = 0xffbfd688), line 513 in "audit_read.c"
[3] auditlog_GetNextRecord(offs = 0xffbfd738, p = 0xffbfd730), line 343 in "audit_lib.c"
[4] ListLogFileLoop(count = 0xffbfdba8), line 177 in "auditlog.c"
[5] ListLogFile(), line 235 in "auditlog.c"
[6] main(argc = 8, argv = 0xffbff0d4), line 518 in "auditlog.c"
2. オフセットを増加させずに監査ファイルの読み取りを繰り返します。
    Solaris 10 で監査レコードが破損すると、以下が発生します:
1. コア ダンプ:
# seaudit -a -fn /work/tmp_install/21472886/seos.audit.bak.13-Jul-2013-00:00:00 -sd 12-JUL-2013 -st 11:50
2. 無限ループ:
# seaudit -tr -fn /work/tmp_install/21472886/seos.audit.bak.13-Jul-2013-00:00:00 -sd 12-JUL-2013 -st 17:02
77 2 UNIX エンドポイント カーネル モード 2.4 カーネルが動作する X64 Linux システムでエージェントが SEOS_syscall のロードに失敗する ControlMinder の問題を修正しました。 AC126SP30036 LINUX x64       X64 RHEL 3.8 上に AC をインストールします(再現環境の一例として)。
SEOS_load を実行すると失敗します。
78 2 UNIX エンドポイント ユーザ モード ブランド ゾーンで実行されている 64 ビット Solaris 8 または 9 上で、install_base およびポストインストール スクリプトにより、SEOS_syscall に対する無効なリンクが作成される ControlMinder の問題を修正しました。 AC126SP30037 Solaris Sparc、Solaris x86 Solaris 8 および 9 用の SEOS_syscall リンクの作成時に OSMIC が使用されました。 この問題は、ブランド ゾーン内の 64 ビット Solaris 8 または 9 に AC をインストールする場合にのみ発生します。 Solaris 8 または 9 用に追加のチェック手順を加えます。 ゾーンをサポートする 64 ビット Solaris システムで以下の手順を実行します。
1. グローバル ゾーンにネイティブ インストールを実行します。
2. SEOS_syscall をアンロードします。
3. SEOS_use_ioctl を 1 に設定します。
4. SEOS_syscall を再ロードします。
5. ブランド ゾーンに移動します。
6. install_base を使用して、ネイティブ インストールまたはレガシー インストールのいずれかを実行します。
SEOS_syscall を SEOS_syscall.28Z.64 または SEOS_syscall.29Z.64 のいずれかにリンクしようとするときにインストールが失敗します。
79 1 UNIX エンドポイント ユーザ モード KBLAuditMgr が kbl 監査のリネームに失敗する ControlMinder の問題を修正しました。 AC126SP30021 Unix all        
80 3 UNIX エンドポイント ユーザ モード vsftpd が実行されているエンドポイント上で、リモート ftp ログインにより、アクセサ ホストのホスト名/IP の代わりにコンソールを含む監査レコードが生成される ControlMinder の問題を修正しました。 AC126SP30022 Unix all Invest. notes を参照してください。     1. vsftpd が実行されていることを確認します: ps -ef | grep vsftpd
2. CM エンドポイントに FTP 接続します。
3. 生成された LOGIN 監査レコードを確認します:
07 Jul 2013 19:56:49 P LOGIN root 59 2 console VFTP
予期される結果:
07 Jul 2013 20:09:43 P LOGIN root 59 2 130.yyy.xxx.77 VFTP
07 Jul 2013 20:10:29 P LOGIN root 59 2 ismelxxx.ca.com VFTP
81 1 UNIX エンドポイント カーネル モード SEOS_syscall カーネル モジュールをアンロードするときにシステムがクラッシュする ControlMinder の問題を修正しました。 AC126SP30011 LINUX all Invest. notes を参照してください。 クリーンアップ関数がどのようにして複数回コールされるかは不明です。 SEOS_procserver_fini() 内にモジュールがすでに解放済みであるかどうかを確認するチェック機構を追加します。該当する場合は、何も処理を行いません。  
82 2 UNIX エンドポイント カーネル モード Unbreakable Enterprise Kernel 2.6.39-200.24.1 で実行されている Oracle Enterprise Linux 6.3 上で chdir システム コールを呼び出したときにシステム パニックが発生する ControlMinder の問題を修正しました。 AC126SP30012 LINUX all Invest. notes および問題のサマリを参照してください。 この問題は、Linux カーネル 2.6.39 以降で、chroot コマンドの新しいルートがマウント ポイントであるときに発生します。 vfsmount struct アクセス用の正しいロックを識別します。 UEK システムが含まれる OEL 6.3、または 2.6.39 以降のLinux カーネルで以下の手順を実行します。
1. AC を起動します。
2. マウント ポイントを見つけます。
3. "chroot mounting_point" を実行します。
システム パニックが発生します。
83 2 UNIX エンドポイント カーネル モード カスタマがシェル スクリプトを実行すると exec ハンドルで 20 秒のギャップが発生する ControlMinder の問題を修正しました。 AC126SP30013 LINUX all システム コールが PF_INET6 でも PF_INET でもないピア アドレスを取得します。      
84 3 Windows エンドポイント ユーザ モード パスに日本語の文字が含まれているプログラムの SPECIALPGM を定義するとエラー メッセージが表示される ControlMinder の問題を修正しました。 AC126SP30014 Windows all        

Chat with CA

Just give us some brief information and we'll connect you to the right CA Expert.

Our hours of availability are 8AM - 5PM CST.

All Fields Required

connecting

We're matching your request.

Unfortunately, we can't connect you to an agent. If you are not automatically redirected please click here.

  • {{message.agentProfile.name}} will be helping you today.

    View Profile


  • Transfered to {{message.agentProfile.name}}

    {{message.agentProfile.name}} joined the conversation

    {{message.agentProfile.name}} left the conversation

  • Your chat with {{$storage.chatSession.messages[$index - 1].agentProfile.name}} has ended.
    Thank you for your interest in CA.


    How Did We Do?
    Let us know how we did so that we can maintain a quality experience.

    Take Our Survey >

    Rate Your Chat Experience.

    {{chat.statusMsg}}

agent is typing