CA ControlMinder 128-CumulativeFix-1 CF1 Endpoints FIXLIST-Japanese - CA Technologies
{{search ? 'Close':'Search'}}

CA ControlMinder 12.8 - CumulativeFix-1 (CF1) Endpoints FIXLIST - Japanese


番号 重大度 モジュール 問題のサマリ パッケージ OS 問題の原因 条件 解決策または回避策 再現手順
1 3 UNIX エンドポイント ユーザ モード シグナル 6 (中止)が原因で seosd のコア ダンプが発生するという問題を修正します。この動作が発生するのは、システム コマンド "reboot" が発行される時です。 AN01831 すべての UNIX seosd がシャットダウンに長時間を要するため、システムが seosd に対して別のシグナル 6 を発行します。     1.cp /opt/CA/AccessControl/samples/system.init/LINUX/S95seos /opt/CA/AccessControl/bin 2.chmod +x /opt/CA/AccessControl/bin/S95seos 3. -s /opt/CA/AccessControl/bin/S95seos /etc/rc5.d/S95seos 4.ControlMinder を起動してから、コマンド "reboot" を発行します。 5.システムが復旧したら、/ または /opt/CA/AccessControl/bin でコア ダンプを確認します。この問題は再現できない場合があります。この問題が再現できるのは、クライアントの環境で seosd が大量のクリーンアップを処理する場合のみです。
2 2 UNIX エンドポイント ユーザ モード seosd が再起動中にコア ダンプを生成するという問題を修正します。 AN02078 すべての UNIX   AC125SP50555 による変更が含まれるパッチが適用された 12.5 SP5 GA、または 12.5.SP5 CR1 でこの問題が発生します。 すでに解放されたメモリを解放しないためのチェックを追加します。 12.5 SP5 CR1 をインストールします。AC を実行します。再起動を実行します。
3 3 UNIX エンドポイント ユーザ モード キー ロガーが有効な場合に、Vi でファイルをスクロールするとログイン セッションが終了するという問題を修正します。 AN02108 すべての UNIX read() をコールするパラメータとしての長さがマイナス KBL が有効で kbl_output_limit=10   AIX 6.1 seos.ini: kbl_enabled = yes kbl_output_limit = 10 AC=^ eu root audit(interactive) root #としてログインします。 /opt/CA/AccessControl/seos.ini を vi で開きます。開いたファイルを下にスクロールします。 予測: 必要なだけスクロールできます。 実際: ログイン セッションが終了し、... への接続が外部ホストによって終了されます。
4 3 UNIX エンドポイント ユーザ モード ファイルのタイム スタンプが変更された場合に、最も古いファイルが取得できないという問題を修正します。 AN02134 すべての UNIX   seos.audit バックアップ ファイルのタイム スタンプが変更されます。これが原因で、seosd は適切に作成された最も古いファイルを見つけられません。 バックアップ ファイル seos.audit.bak.xxx.xx がその他のプロセスによって touch されないようにします。 以下のトークンを設定します。BackUp_Date = daily audit_max_files = 3 (or any number you would like to) 1.cd /opt/CA/AccessControl/log 2.cp seos.audit.bak.30-Mar-2014-09:44:32 seos.audit.bak.31-Mar-2014-09:44:32 3.cp seos.audit.bak.30-Mar-2014-09:44:32 seos.audit.bak.01-Apr-2014-09:44:32 これで、3 つのバックアップ ファイルができました。audit_max_files は 3 に設定されます。seos.audit の名前が翌日変更されると、最も古いバックアップ ファイルが削除されます。名前の拡張子によると、30-Mar-2014-09:44:32 は最も古いファイルです。また、seos.audit の名前がバックアップ ファイルに変更されたら、このファイルは翌日削除される必要があります。ただし、CM をシャットダウンしてから、"touch seos.audit.bak.30-Mar-2014-09:44:32" を実行すると、ファイル seos.audit.bak.30-Mar-2014-09:44:32 は最も古いファイルではなくなります。seos.audit がバックアップ ファイルにロールされる際に、このファイルは削除されません。
5 2 UNIX エンドポイント ユーザ モード Java 共有ライブラリ libjvm.so および libjsig.so のロード時に AgentManager および ReportAgent がエラーを生成するという、Zlinux の問題を修正します。 AN01812 Linux s390 作成された LD_LIBARARY_PATH に、libjsig.so のパスが含まれていません。   s390x マシン タイプの確認が含められるように、条件を変更します。 ./report_agent.sh start 実際の結果: /opt/CA/AccessControlShared/bin/ReportAgent: 共有ライブラリのロード中にエラーが発生しました: libjsig.so: 共有オブジェクト ファイルを開けません: そのようなファイルまたはディレクトリはありません。
6 3 Windows エンドポイント ユーザ モード AIX 6.1 以降で CA ControlMinder が DNS からのホストの取得に失敗するという問題を修正します。 AN02091 AIX コマンド "nslookup -ls" および "host -l" は AIX 6.1 でサポートされていません。   DNS サーバからのホストのリストを取得する "dig" コマンドを実行します。 AIX 6.1 CM をインストールします。# dig DNS_server Domain_Name axfr // 例: dig 130.119.181.119 memco.co.il axfr if not-empty hosts list then may continue testing # sebuildla -h # sebuildla -H 予測される結果: 取得されたホストのリスト
7 3 UNAB nss_uxauth データ交換用に、UNAB を RHEL 上の最近の変更に合わせて変更します。 AN02092 すべての Linux        
8 3 UNIX エンドポイント ユーザ モード Watchdog が再起動時に seosd プロセスの強制終了を試行するという問題を修正します。その結果、SMF サービスは再起動後に "メンテナンス" モードに入り、SMF と Watchdog の両方が seosd の再起動を試行します。 AN02080 すべての UNIX     saferoute で返されたエラーを確認し、エラーが SEOSSFR_E_NOSERV であれば、seosd を強制終了しません。  
9 2 UNIX エンドポイント カーネル モード 偽の /etc/os-release ファイルが原因で SEOS_load が失敗するという問題を修正します。 AN02081 Linux x64 getvar.sh による偽の /etc/os-release ファイルの解析が正しくありませんでした。 /etc/os-release ファイルが追加された RHEL 5.x   rhel 5.10 X64 システム上: 1.SOES カーネル モジュールがアンロードされていることを確認します。 - SEOS_load -u 1.テキスト "redhat" のみが含まれている /etc/os-release ファイルを追加します。 2.SEOS_load を実行して、CM がロードし実行する必要がある seos カーネル モジュールをロードします(以前は、SEOS_load は OS を Debian と検出していました)。
10 2 UNIX エンドポイント ユーザ モード UNAB がインストールされている場合、sepass がローカル ユーザに対して機能しないという問題を修正します。 AN01934 すべての UNIX       ControlMinder エンドポイントおよび UNAB の両方がインストールされているマシン上で、ネイティブからユーザを作成します。
#useradd test111
#passwd -r files test111
6. UNAB がインストールされ実行されている場合に、Sepass を使用してローカル ユーザのパスワードを変更します。
bash-3.00# sepass test111
CA ControlMinder sepass v12.80.0.1675 - パスワード置換
Copyright (c) 2013 CA.All rights reserved.
test111 のパスワードを変更しています
パスワードの入力:
新規パスワードの入力:
新規パスワードの確認:
アクセスは拒否されました
ローカル パスワードは正常に更新されました。
7. 変更されたパスワードで、ローカル ユーザとしてログインします。
ログインは正常に実行されます。
11 3 UNIX エンドポイント カーネル モード Solaris 内部ゾーンでキーボード ロガーが正常に機能しないという問題を修正します。 AN01829 すべての UNIX グローバル ゾーンで CM を開始する場合のみ、CM はグローバル構造体 "SEOS_kbl_info_t KBL_info" を初期化します。CM はこのグローバル構造体を内部ゾーンでも使用します。 CM は Solaris グローバル ゾーンでは実行されません。 per-zone KBL_info を作成します。この構造体は "cmdlog" バイナリ記述を保持し、ゾーンでの CM の起動時に、それを初期化します。  
12 2 UNIX エンドポイント カーネル モード Solaris 10 上で、Solaris 10 ゾーンのパス名が長すぎるためにシステム クラッシュが発生するという問題を修正します。 AN01861 Solaris Sparc 1024 バイトのバッファに 1028 バイトの文字列の書き込みが試行されます。 パス名が長い Solaris 10 ゾーン ゾーン名をパス名に追加した結果の長さを確認します。バッファ長が MAXPATHLEN=1024 を超過しないようにします。 Solaris 10 内部ゾーン。内部ゾーンで、パス長さの合計が 1020 バイトのファイルを作成します。グローバル ゾーンおよび内部ゾーンで CM を起動します。内部ゾーンおよびグローバル ゾーンからこのファイルへのアクセスを試行します。------------ CM パス解決は、ゾーン プレフィクスを長いパスに追加しようとしますが、結果はヒープ破損エラーになります。
13 3 UNIX エンドポイント ユーザ モード libscramble.so を使用すると、リモート ホストへの Selang 接続が失敗するという問題を修正します。 AN01868 Linux s390 暗号化レイヤはデータの復号化に失敗します。 ACCIPHER レイヤは、暗号化用の共有ライブラリをロードします。libscrable.so 内の関数 _unscramble() はバッファ サイズの入力パラメータを 'int*' と予測しますが、ACCIPHER レイヤは 'long*' を送信します。zLinux では、int は 4 バイトで、long は 8 バイトです。結果として、呼び出された関数は無効なバッファ サイズ値(非常に大きな値)を返し、ACCIPHER レイヤはエラーを返します。 libscramble.so の使用 復号化が失敗した場合は、返されたバッファのサイズを確認します。サイズが非常に大きい場合は、関数は 'int' へのポインタを予測しています。新しいパラメータ 'int*' で復号化を再度コールします。 ホスト 1: * Solaris 10 + CM 2.6sp1 (または他の任意のバージョン) * ^=CM=^/lib/libcrypt -=^ /opt/CA/AccessControl/lib/libscramble.so.126.0 を設定します。 * CM を起動します。 ホスト 2: * Linux s390x + CM 12.6sp2 * ^=CM=^/lib/libcrypt -=^ /opt/CA/AccessControl/lib/libscramble.so.126.0 を設定します。 * CM を起動します。 ---------------------- ホスト 1 で selang を実行し、AC=^ host host2.ca.com を試行します。予測される結果: 正常に接続されます。 情報: ターゲット ホストのバージョンは 12.62-0 (000) です。
14 3 UNIX エンドポイント ユーザ モード 空のスペースを持つ破損した seos.audit ファイルがイベントの取得に失敗するという、seagent の問題を修正します。結果として、エンタープライズ管理 UI を通じて参照されるレコードの数は、"seaudit -a" を通じて参照されるレコードの数と異なります。 AN01883 すべての UNIX   問題を再現するための、破損した seos.audit。   内部に大きなスペースがある、破損した seos.audit を取得します。エンドポイント管理 WEB UI からこのボックスに接続し、次に[監査イベント]をクリックしてすべてのレコードを表示します。問題は、Web UI で参照するレコードの数と "seaudit -a" でのレコードの数が異なるということです。これは、いくつかのレコードが不足していることを意味します。
15 3 UNIX エンドポイント ユーザ モード selogrd が seosd によってロックされている seos.audit ファイルの読み取りに失敗すると、selogrd は予期せず終了するという問題を修正します。 AN01153 すべての UNIX seosd は長い seos.audit ファイルにログを送信しますが、ファイル seos.audit をロックします。selogrd がファイル seos.audit を開こうとすると、失敗します。 seosd がファイル seos.audit をロックする時間が長すぎます。 selogrd がファイルを開くことができなかった場合、selogrd は 10 秒間スリープしてから、再度ファイルのオープンを試行します。  
16 3 UNIX エンドポイント ユーザ モード 一部の AIX システムで、8 文字より長いユーザ名のユーザのパスワードの更新が失敗するという問題を修正します。 AN01527 AIX これは、AIX システム独自の API が 8 文字を超えるユーザ名をサポートしていないことが原因です。 この問題が発生するのは、AIX のみです。   ユーザ名が 8 文字を超えるユーザを使用します。AC=^eu longusername01 password(12345) vi /etc/security/passwd パスワードは更新されません。
17 3 UNIX エンドポイント ユーザ モード キーボード ロガーが有効な場合、コマンド "logout" が失敗するという問題を修正します。 AN01613 すべての UNIX       問題は再現されましたが、異なるエラーが表示されます。
1. CM をインストールします。
2. seos.ini で kbl_enabled=yes を設定します。
3. システムにログオンします。
4. # logout 3004-064 ログイン ユーザである必要があります。
18 1 UNAB パッケージのインストール時に、パスワードにハッシュ文字(#)が含まれるアカウントが登録用の rpm パッケージのカスタマイズに失敗するという、UNAB の問題を修正します。 AN02073 すべての UNIX        
19 3 UNIX エンドポイント ユーザ モード 新しいシェル(新しいプロセス)が新しい setuid を間違って実行するという問題を修正します。 AN02082 すべての UNIX 新しいシェルは root に対して setuid を実行します。 old_sesu が「no」に設定され、新しいシェルが root に対して setuid を実行するように機能する OS が必要です。    
20 2 UNIX エンドポイント カーネル モード HOST クラス拒否の問題を修正します。 AN02064 すべての UNIX 問題は、SEOS が接続を拒否すると決定した時点で、元の accept システム コールが接続されたソケット用の新しいファイル ディスクリプタをすでに作成しているということです。既存のコードはソケットを終了しますが、ファイル ディスクリプタのクローズに失敗します。その結果、有効なファイル ディスクリプタは無効なソケットをポイントします。プラットフォームに応じて、パニックまたはメモリ リークという結果になる場合があります。 受信接続が拒否される場合。 ファイル ディスクリプタ を閉じます。そうすると、ファイル ディスクリプタは自動的にソケットをクリーンアップします。 1. CM をインストールします。1a.(Solaris 10 以降、または HP-UX 11.23 以降でオプション) syscall ネットワーク インターセプト メソッドを使用することを確認します。seos.ini で以下のトークンを設定します: SEOS_use_streams = no SEOS_network_intercept_type = 2 2。CM を起動します。 3.HOST クラスをアクティブにします。 4.以下の selang ルールを追加します: chres ADMIN("HOSTNET") audit(failure) defaccess(none) editres HOSTNET("all") audit(failure) owner(nobody) mask(0.0.0.0) match(0.0.0.0) chres UACC("HOSTNET") authorize HOSTNET("all") access(r) service(22) authorize HOSTNET("all") access(none) service(*) 注: 最後のルールで、SSH を除くすべての TCP サービスがブロックされます。"sshd -p 22033" を使用するのは、単にデーモンのファイル テーブルを inetd より容易に追跡するためです。5a.Linux および HP-UX については、別のポートを監視する 2 番目の sshd デーモンを開始します。/usr/sbin/sshd -p 22033 5b.Solaris については、別のポートを監視する 2 番目の sshd デーモンを開始します。/usr/lib/ssh/sshd -p 22033 6.別のホストからこの 2 番目の sshd デーモンへの接続を試行します。ssh -p 22033 this_host 7.この接続が拒否されることを監査ログで確認します。 8.この 2 番目の sshd デーモンの PID を識別します。ps -ef | grep sshd | grep "-p 22033" 9a.Linux および HP-UX については、この PID のファイルをリスト表示します。lsof -p second_sshd_pid 失敗した各接続の試行に対して、ソケットのファイルおよび、「 プロトコルを識別できません」というメッセージが表示されます。9b.Solaris については、この PID のファイルをリスト表示すると、システムでパニックが発生する場合があります。pfiles secodn_sshd_pid
      すべての接続がデフォルトで拒否され、特定の IP アドレス用の特定のポートが有効であると考えてみましょう。この場合、telnet が同じポート上で異なる IP アドレスで実行されると、CA ControlMinder は、ソケット エントリを半分開いたままで、接続を拒否します。しばらくして、OS ファイル ディスクリプタ テーブルが一杯になり、サーバはクラッシュします。            
21 3 UNIX エンドポイント ユーザ モード ユーザがルックアサイド DB にない場合、作成されたユーザ名が名前に解決されないという問題を修正します。 AN02071 すべての UNIX 64 ビットの pam_seos.so は 32 ビットの seosd と通信しています。データが 64 ビットから 32 ビットに転送される場合、データ構造体は一致しません。 問題が再現できるのは、Linux X64 ビットに CM の 32 ビット バージョンをインストールする場合のみです。ユーザはネイティブ ツールによって作成され、ユーザは ladb に追加されません。これらは問題を再現する 2 つの条件です。 seosd に修正を適用するか、 ladb にユーザを追加する必要があります。 1. 12.8 を Linux X64 ビット システムにインストールします。ただし、12.8 バージョンは x32 ビットです。 2.pam_seos.so は /lib64/security にあります。 3.useradd を実行してユーザを作成し、そのユーザのパスワードを作成します。ユーザが ladb 4 にいないことを確認します。ユーザの初回ログインを行い、"sewhoami -a" を実行します。sewhoami -a に 1 つではなく 2 つのユーザ名があります。
22 2 Windows エンドポイント ユーザ モード audit.cfg で、ControlMinder プロセスを強制終了する "N PROCESS" 監査ログが "PROCESS;*;*;*;Kill;*" でフィルタされないという問題を修正します。 AN02047 すべての Windows       1. audit.cfg で "PROCESS;*;*;*;Kill;*" を設定します。 2.タスク マネージャから seosd.exe を強制終了します。 3.以下の監査ログが記録されます。08 Apr 2014 15:53:29 N PROCESS Administrator Kill 600 10 \device\harddiskvolume2\program files\ca\accesscontrol\bin\seosd.exe C:\Windows\system32\taskmgr.exe Additional information: audit.cfg で "PROCESS;*;*;*;*;*" を設定すると、上記の監査ログがフィルタされます。seosagent.exe および seoswd.exe を強制終了する場合も、同じ問題が確認されます。
23 3 UNIX エンドポイント ユーザ モード HP 11.11 で FTP ログインが失敗するという問題を修正します。これは、SEOS_load -u は SEOS_syscall を正常にアップロードしますが、トークン HPUX11_SeOS_Syscall_number が依然として seos.ini で設定されていることが原因です。 AN02059 HPUX PA-RISC SEOS_syscall がアンロードされても、HPUX11_SeOS_Syscall_number は seos.ini で依然設定されています。 この問題が発生するのは、hpux11.11 のみです。 修正 SEOS_load を適用するか、seos.ini から HPUX11_SeOS_Syscall_number を手動で削除します。 1. ControlMinder を HPUX11.11 にインストールします。 2.ControlMinder を起動します。 2.secons -sk。 3.SEOS_load -u。 4.vi で seos.ini を開き、HPUX11_SeOS_Syscall_number を探します。このトークンが削除されている(そこにない)場合、ログインは成功します。HPUX11_SeOS_Syscall_number が seos.ini で依然設定されている場合、ログインは成功しません。 5.このボックスに FTP でログインします。問題がなければ、ログインは成功します。
24 3 UNIX エンドポイント ユーザ モード コア ファイルを生成した policyfetcher の問題を修正します。 AN02042 すべての UNIX NULL ポインタ アクセス   使用前に文字列ポインタを確認します。  
25 3 UNIX エンドポイント ユーザ モード DENY 監査レコードにもかかわらずユーザが ログインできるという問題を修正します。 AN02022 すべての UNIX PAM 設定で pam_seos は オプションです。pam_seos からの戻り値は Linux では無視されます。 PAM loginappl このパッケージは seos.ini で新規トークンを定義します。 [pam_seos] pam_deny_login_kill=yes デフォルト値の「yes」では、CM は "拒否された" プロセスを強制終了します。トークンを「no」に設定すると、CM は pam_seos.so に "deny" を返し、pam_seos.so はサービスに PAM_PERM_DENIED を返します。そのような場合、管理者は、/etc/pam.d/system-auth で "オプションの pam_seos.so" を "必須の pam_seos.so" に変更する必要があります。 Linux 上で: AC=^ er loginappl VFTP loginflags(PAM, nograce) AC=^ er terminal 123.234.567.89 defaccess(n) owner(nobody) ---- 端末(上記の端末ルールで IP 定義された)から "ftp tet_host" を実行します。予測: ログインは失敗します。 実際: ログインは成功します。
26 3 UNIX エンドポイント カーネル モード ControlMinder の実行中に CPU 負荷が増大するという問題を修正します。 AN02030 すべての Linux /proc へのファイル アクセスを確認する際の、カーネル テーブルへの頻繁なアクセス。 CPU 数が 128 のマシンで問題が発生します。 カーネルでトークン proc_bypass を確認し、SEOS_proc_bypass=1 の場合はすぐに ALLOW を返し、/proc にアクセスします。  
27 2 Windows エンドポイント ユーザ モード ControlMinder サービスを監視する Watchdog スレッドがクラッシュするという問題を修正します。HKEY_LOCAL_MACHINESOFTWAREComputerAssociatesAccessControlAccessControl でレジストリ値 GenerateMemDump を「0」に設定しても、プロセス ダンプの生成が無効になりません。また、'secons -i' によって仮想メモリ サイズとハンドルの間違った値が「CA ControlMinder メモリ使用率統計」セクションに出力されます。 AN01984 すべての Windows この問題は、 Win2003 で PROCESS_QUERY_LIMITED_INFORMATION アクセス マスクを使用したオープン プロセスによって発生します。   アクセス権限 PROCESS_QUERY_INFORMATION で監視対象プロセスを開きます。VirtualMemorySize および HandlesCount の値の検証を追加し、GenerateMemDump 値の値に応じて、プロセス ダンプを生成します。 サービス、レポート エージェント、タスク委任、拡張ポリシー管理と共に、CM エンドポイントを Win 2003 にインストールします。CM を起動し、AccessControlbin に DMP ファイルが生成されるまで約 15 分間待機します。
                   
28 2 UNIX エンドポイント カーネル モード CentOS 6.5 が正しく認識されず、SEOS_syscall の間違ったリンクが作成されるという問題を修正します。 AN01989 すべての Linux getvar.sh で OS が正しく検出されず、CentOS 6.5 で SEOS_syscall のリンクが間違っています。      
29 3 UNIX エンドポイント ユーザ モード パスワードが KBL 監査ログにクリア テキストで保存されるという問題を修正します。 AN01980 すべての UNIX cmdlog はすべての入力を監査ログに送信します。   プロンプト[パスワード:]が表示された後にテキストを非表示にするように、cmdlog を修正します。 KBL を有効にします。ユーザを作成します。 AC=^ eu test audit(interactive) 'test' としてログインします。 % su パスワード: **** seaudit -kbl -sid 28327 -cmd ==^ SessionCmd: パスワードがクリア テキストで表示されます。
30 2 UNIX エンドポイント ユーザ モード システムに 8000 のプロセスがある場合に、ControlMinder の起動に失敗するという問題を修正します。 AN01982 すべての UNIX 起動時に、seosd は 8000 エントリの初期プロセス テーブルを割り当てます。プロセスをすべて保持するスペースがテーブルにない場合、seosd は再度より大きなサイズのテーブルを割り当てます。関数 OLD_ProcServer_add_entry() はエントリ ポインタ 'p' を前のテーブルに保存します。次に、テーブルの再割り当てが行われますが、関数は古いポインタを使用し、クラッシュします。 システムに 8000 以上のアクティブなプロセスがあります。 OLD_ProcServer_add_entry() を変更します。元のプロセス テーブル エントリをローカル ストアに保存します。後でデータを新規エントリにコピーする際に、その保存されたエントリを使用します。 テスト システム上で、合計 8000 を超えるプロセスを実行します。CM を起動します。 -------- 予測: 起動に成功します。
31 3 UNIX エンドポイント ユーザ モード ルックアサイド DB の読み取り時に、seosd が Watchdog によって強制終了されるという問題を修正します。 AN01965 すべての UNIX watchdog は seosd を強制終了します。seosd は ladb を読み取り、ファイル ロックを取得または待機します。ロックで何が怒るのかは不明です。TC61368 によって seosd にパッチが適用され、バイナリの保存されたバージョン、またはストライプ バージョンはありません。コアを読み取れません。   seosd から ladb にアクセスする際に、ロックをリクエストする前に、ファイル ロックが利用可能かどうか確認します。  
32 3 UNIX エンドポイント ユーザ モード SEOS_load -u の実行時に GUI が動作を停止するという問題を修正します。 AN01947 Linux x64 アンロード EXIT スクリプト /etc/init.d/messagebus stop 内のコマンド。   Linux RH 上で /etc/init.d/messagebus stop をコールしないでください。 RH 6.4 run SEOS_load -u ==^ Xserver stopped
33 3 UNIX エンドポイント ユーザ モード ルックアサイド DB が無効な場合、端末ルールが無視されるという問題を修正します。 AN01906 すべての UNIX seosd はホスト キャッシュでホスト名の検索に失敗します。その結果、IP アドレスが使用されます。関数 uxcache_gethostbyaddr() は、任意のホストに対して NULL を返します。 use_lookaside=no in seos.ini 完全に再作成されたホスト キャッシュ。 seos.ini use_lookaside = no terminal_search_order = name 同じホストに対して、1 つは名前で、もう 1 つはホスト IP で 2 つの DM ルールを作成します。 AC=^ nr TERMINAL my_test.ca.com defaccess(READ) owner('nobody') AC=^ nr TERMINAL 130.119.22.222 defaccess(none) owner('nobody') my_test.ca.com からサーバへのログインを試行します。 ==^ 予測: 最初の端末ルールによってアクセスが許可されます。 ==^ 実際: 接続がクローズされ、IP ルールによって決定が行われます。
34 3 UNIX エンドポイント ユーザ モード FTP ログイン レコードに間違ったリモート ホスト IP が表示されるという問題を修正します。FTP 用の LOGINAPPL が PAMLOGIN に設定されている場合、監査ファイル内に間違った IP アドレスがあります。 AN01881 すべての UNIX CM に VFTP loginappl 用の PAM フラグがなく、PAM ログイン処理をスキップします。CM は vftpd プロセス用カーネルから IP アドレスを取得し、別の接続の IP を返します(カーネルはプロセスの最初の使用可能なソケットからアドレスを取得します)。seosd はすべてのフラグをログイン テーブル エントリに追加する必要がありますが、LOGINAPPL ルールの更新時に、最後の 1 通知のフラグを RT テーブルに保存します。 libscramble.so の使用 フラグをすべて RT ログイン プログラム エントリに追加します。 S1 Linux Oracle RH 6.4 で再現されました。 1. Linux で CM を起動します。 2. LOGINAPPL ルールまたは loginappl VFTP loginflags(PAMLogin nograce) を編集します。 3. 別のシステムから SSH を使用して Linux にログインします(再現時に Windows 155.35.97.157 を使用)。 4. Linux で、"service vsptpd restart" を使用して FTP を再起動します。 5. 3 番目のシステムから Linux に FTP 接続します(再現時に Windows 155.35.97.240 を使用)。 6. Linux で以下を実行します: seaudit -a 21 Feb 2014 05:13:17 P LOGIN root 59 2 155.35.97.157 SSH 21 Feb 2014 05:14:24 P LOGIN root 54 2 155.35.97.157 VFTP -------- CM は 2 番目の Windows からの接続時に、最初の Windows の IP アドレスで FTP レコードを保存します。
35 3 UNIX エンドポイント カーネル モード カーネルのアップグレード後に、変更されたカーネル シンボルによって SEOS_load が失敗するという問題を修正します。 AN01864 Linux x64 シンボルのバージョンが一致しません。 カーネルのアップグレード。 SUSE 10SP2, x86_64, カーネル 2.6.16.60-0.66. 1 SEOS_syscall を次の OSMIC レベルにリンクします。 - SEOS_syscall.100SUSEcX86_64.MP.ko Linux SUSE 10 SP2 x86_64 2.6.16.60-0.66.1-smp SEOS_load SEOS_load: SEOS_syscall はロードされません。
36 3 UNIX エンドポイント ユーザ モード エンタープライズ管理 Linux ボックスで、NULL ACCIPHER ハンドルへの接続が原因で、seagent のコア ダンプが発生する場合があるという問題を修正します。 AN01840 すべての UNIX ACCIPHER ハンドルが NULL です。 NULL ACCIPHER による seagent への接続があります。 fix seagent を適用する必要があります。 ENTM を Linux ボックスにインストールします。seagent のコア ダンプが発生する場合があります。seagent のデバッグ ログをオンにすると、NULL ACCIPHER ハンドルとの接続があることが分かります。コア ダンプが発生する理由は、ハンドルが NULL であるためです。
37 2 Windows エンドポイント カーネル モード あるユーザが共有フォルダにアクセスする際の論理エラーが原因で、別のユーザのアクセス権限がなくなる代わりに、監査ログが 1 人のユーザを別のユーザに置換するという問題を修正します。 AN01827 すべての Windows CMには スレッドごとの代理実行情報の格納に使用されるスレッド属性キャッシュがあります。キャッシュ操作のコンテキストで、新規データ (新規ユーザ SID) でキャッシュを更新するユーザは、 無効化されたキャッシュ エントリを削除する前に、キャッシュ エントリの更新を実行します。 この更新によって別のスレッドが間違ったユーザの ID を推測する機会ができ、問題が作成されます。修正プログラムによって、間違った代理実行を阻止する更新が古い更新として削除されます。   修正された更新テーブル。  
38 3 UNIX エンドポイント カーネル モード ftruncate コールが 4 GB 以上にサイズへのファイルの切り捨てに失敗するという問題を修正します。 AN01834 AIX   ファイル長を 4 GB を超える長さに設定するために ftruncate を呼び出します。 データ タイプを off_t に変更します。 ファイルを作成する ftruncate をコールするプログラムを作成し、ファイル サイズを 4 GB を超える長さに切り捨てます。AC を起動します。このテスト プログラムを実行します。長さが(intended_size - 4 GB)のファイルが作成されます。(ファイル サイズの最大値が無制限に設定されていることを確認します。)
39 2 UNIX エンドポイント カーネル モード カーネルがサーバ関数 SEOS_procserver_list_len() を処理する際にシステム クラッシュが発生するという問題を修正します。 AN01811 すべての UNIX 別のプロセス KBL cmdlog が AC_ProcGetOrigArg0() およびカーネル関数 SEOS_procserver_getArg0() をコールします。スケジューラが CPU からこのプロセスを削除すると、spinlock が維持された状態で、カーネル procserver 関数によって alloc がコールされます。-------- stack trace: ID: 12060 TASK: ffff81010d2b7100 CPU: 1 COMMAND: "AC" #0 [ffff81001bb75c78] schedule at ffffffff80062f90 #1 [ffff81001bb75d50] __cond_resched at ffffffff800900c8 #2 [ffff81001bb75d60] cond_resched at ffffffff800630c5 #3 [ffff81001bb75d70] __kmalloc at ffffffff800de725 #4 [ffff81001bb75d90] eAC_calloc at ffffffff886c5008 [seos] #5 [ffff81001bb75dc0] SEOS_procserver_getArg0 at ffffffff886c281c [seos] #6 [ffff81001bb75e00] _SEOS_syscall_ at ffffffff886a41f6 [seos]   spinlock を維持した状態で、ブロック可能な alloc() をコールしないでください。  
40 3 UNIX エンドポイント ユーザ モード seos.ini で old_sesu が「no」に設定されている場合、sesu - user01 が拒否されるという問題を修正します。これは /bin/su からの setuid が許可されないことが原因です。 AN01803 すべての UNIX /bin/su は setuid のコールも行います。 old_sesu を「no」に変更します。 回避策としては、setuid コールを許可する SURROGATE ルールを記述します。 AIX で seos.ini を vi で開き、old_sesu を「no」に変更します。ユーザ tt01 としてログインし、"sesu - tt02" を実行してください。コマンドは拒否されます。
41 2 UNIX エンドポイント カーネル モード SLES 10sp3 システムで実行される SLES 10sp2 カーネルで、カーネル モジュールがロードに失敗するという問題を修正します。 AN01765 すべての Linux AC は、カーネル バージョンを検出するために SLES 10 sp2 または sp3 AC が uname -r を使用する必要があるかどうか検出するために、/etc/SuSE-release ファイルを使用しています。 AC カーネル モジュールはロードに失敗します。 修正された getvar.sh をインストールします。 SLES 10 sp3 (カーネル 2.6.16.60-0.54)をインストールします。カーネルを SLES 10 sp2 (カーネル 2.6.16.60-0.21)に戻します。AC はロードに失敗します。
42 2 UNIX エンドポイント カーネル モード 共存の問題が原因で、Symantic sisip カーネル モジュールの処理でパニックが発生するという問題を修正します。 AN01766 Linux x64        
43 2 Windows エンドポイント ユーザ モード ワイルドカード(*?)を使用する TERMINAL の一般的なルールが正しく機能しないという問題を修正します。 AN01775 すべての Windows     汎用リソース テーブル内のクライアントのホスト名または IP に一致する TERMINAL オブジェクト(ワイルドカードを含むオブジェクト)の検索が追加されました。 CM エンドポイント A:1.CM を停止し、HKEY_LOCAL_MACHINE\SOFTWARE\ComputerAssociates\AccessControl\SeOSD で TerminalSearchOrder = name,RDPIP を指定します。 2. ユーザ tuser を作成します。 3.tuser でホスト B から A への RDP ログインを確認します。 4.CM を起動します。 5.CM ユーザ tuser を作成します。eu tuser owner(nobody) 6.ワイルドカードを使用して、ホスト B の IP に対する TERMINAL ルールを以下のように作成します:er terminal(130.119.179.*) owner(nobody) defaccess(none) ホスト B からの RDP 接続を確認します。予期される結果: ログインが拒否されます。実際の結果: ログインが許可されます。
44 3 UNIX エンドポイント ユーザ モード プロセス ? /usr/sbin/saslauthd で開かれているファイル ディスクリプタの数が増えていくという問題を修正します。 AN01750 すべての UNIX pam_seos.so は開いているソケットを閉じません。 この問題は RH 6.0 で発見されましたが、すべてのプラットフォームに該当します。 PUPM 接続が pam_create_socket_client_handle() で失敗する場合は、ソケットを閉じます S1 で作成された再現環境サーバ 155.35.114.85 をサポートします。このサーバ上で以下を行います: ------------------- # ps -ef | grep saslauthd root 20004 1 0 Oct28 ?00:00:00 /usr/sbin/saslauthd -m /var/run/saslauthd -a pam -n 1 # ls -l /proc/20004/fd (mark number of opened files) # telnet localhost 110 USER tanma07 +OK 名前は有効なメールボックスです。 PASS tanma07 +OK メールボックスはロックされ、終了できるようになります。 +OK # ls -l /proc/20004/fd ==^ 1 つ以上のオープン ソケットが表示されます。

Chat with CA

Just give us some brief information and we'll connect you to the right CA Expert.

Our hours of availability are 8AM - 5PM CST.

All Fields Required

connecting

We're matching your request.

Unfortunately, we can't connect you to an agent. If you are not automatically redirected please click here.

  • {{message.agentProfile.name}} will be helping you today.

    View Profile


  • Transfered to {{message.agentProfile.name}}

    {{message.agentProfile.name}} joined the conversation

    {{message.agentProfile.name}} left the conversation

  • Your chat with {{$storage.chatSession.messages[$index - 1].agentProfile.name}} has ended.
    Thank you for your interest in CA.


    How Did We Do?
    Let us know how we did so that we can maintain a quality experience.

    Take Our Survey >

    Rate Your Chat Experience.

    {{chat.statusMsg}}

agent is typing