SA/IC/MAGシリーズ Host Checkerの検疫失敗について

2014 年 1 月 1 日
お客様各位
株式会社日立ソリューションズ
ネットワークビジネス部
SA/IC/MAG シリーズ Host Checker の検疫失敗について(最終報)
拝啓 平素は Juniper 製品サポートをご利用下さいまして誠にありがとうございます。
2013 年 12 月 31 日以降、Host Checker 機能が失敗する事象が発生しており、以下にその
詳細をご案内させて頂きます。ご迷惑をおかけいたしまして誠に申し訳ございませんが、ご
理解とご協力の程、宜しくお願い申し上げます。
敬具
TSB16290 CRITICAL :
SA / MAG シリーズ / IC シリーズ において、エンドポイントの日付が 2013 年 12 月 31
日、又はそれ以降である場合、Endpoint Security Assessment Plugin (ESAP)を利用して
いるアンチウィルス、ファイアウォール、アンチスパイウェアの事前定義済み Host Checker
ポリシーが失敗する。
対象製品:
SA700, SA2000, SA2500, SA4000, SA4000 FIPS, SA4500, SA4500 FIPS, SA6000,
SA6000 FIPS, SA6500, SA6500 FIPS, IC4000, IC6000, IC4500, IC6500, IC6500 FIPS,
MAG2600, MAG4610, MAG6610, MAG6611
説明:
本事象は、SSL VPN と UAC の Host Checker 機能をセットで利用している場合、エンド
ポイントアセスメントポリシーの失敗によって、SSL VPN と UAC セッションにユーザが
サインインできなくなる可能性があります。Host Checker 機能はエンドポイントが内部リ
ソースにアクセスする前に、事前定義ポリシーに従っているかどうかを確かめます。しかし、
本事象のため、Host Checker 機能はエンドポイントがコンプライアンス違反であると不正
にレポートする可能性があり、その結果 SSL VPN/UAC セッションにユーザがサインイン
できなくなり、内部リソースにアクセスできなくなります。
具体的には、ユーザの PC で日付が 2013 年 12 月 31 日 0 時 0 分以降になると、ユーザは
Host Checker 検証に失敗し、次のエラーメッセージ、または SSL VPN 管理者が設定した
回避メッセージを受け取ります。
"Anti-Virus software listed in security requirements is not installed"
解決策:
Juniper 開発チームは本事象を修正して、ESAP2.5.1 をサポートサイトに掲載しました。
SA/IC 上にて ESAP をアップグレードしてください。Admin Guide を参照して、ESAP を
アップグレードしてください。ESAP2.5.1 へのアップグレードができない場合のみ下記の
回避策を適用してください。
※日立ソリューションズ注釈:弊社サポートサイトの SA/MAG または IC のペー
ジへログインしていただき、ソフトウェアのページに ESAP のパッケージ、リリ
ースノート、アップグレード手順を公開しております。
現在可能な回避策:
本事象の一時的な回避策として、影響するユーザの Host Checker 機能を無効にする(Host
Checker ポリシーを無効にする)か、影響するユーザの PC の日付を 2013 年 12 月 31 日以
前にリセットするかのどちらかになります。あるいは、アンチウィルス、アンチスパイウェ
ア、ファイアウォール製品のための Host Checker プロセスチェックポリシーを手動で作成
し、事前定義チェックを無効にして下さい。回避策、および本事象についてご質問がありま
したら、サポートへご連絡お願い致します。
FAQ:
1. 修正は新たな ESAP パッケージになりますか?
はい、Juniper Networks は本事象を解消するために、新たに ESAP パッケージ (バージョ
ン番号 2.5.1)を Juniper サポートサイトでリリースします。その後、SSL VPN と UAC の
管理者はこの新たな ESAP パッケージを SA/UAC それぞれの筐体にアップデートする必要
があります。ESAP パッケージがアップデートされ、筐体で有効化することで、SA/UAC に
サインインする全てのエンドユーザは、修正された Host Checker クライアントライブラリ
を取得し、本事象が解消されます。
2. どの SA/UAC ソフトウェアバージョンに影響がありますか?
本事象は、全ての 7.2R1 とそれ以降の SA (SSL VPN)、および 4.2R1 とそれ以降の UAC
に影響があります。7.1Rx/4.1Rx とそれ以前のリリースには影響ありません。
3. どの ESAP パッケージバージョンに影響がありますか?
本事象は、全ての ESAP 2.5.0 とそれ以前のバージョンに影響があります。
4. 本修正を適用するために、私の SA/UAC ソフトウェアバージョンをアップデートする必
要がありますか?
いいえ、
ESAP 2.5.1 とそれ以降で本修正の適用を行って下さい。
基礎になっている SA/UAC
ソフトウェアはアップグレードする必要はありません。
5. この問題のトリガーは何ですか?
本事象のトリガーは Host Checker クライアントライブラリのバグによるものです。
このバグは、エンドユーザの PC で日付が 2013 年 12 月 31 日 0 時 0 分以降になると発生
致します。
本事象は上記記載の修正版 ESAP を適用するまで解消されません。
6. どのタイプの Host Checker ポリシーが失敗しますか?
今回のバグは事前定義済みのアンチウィルス、ファイアウォール、アンチスパイウェア Host
Checker ポリシーに影響があります。それ以外のプロセスチェック、OS チェックなどの
Host Checker ポリシーは影響ありません。