ISS技術情報 お客様各位

2002年 4月 22日 東京都新宿区北新宿３−１−１６ 第2事業本部　セキュリティ営業部

以下リリースが、インターネット セキュリティ システムズ株式会社より発行されましたので、ご案内致します。

RealSecure 6.x Server Sensor停止/アンインストール時のホスト停止

本文書では、Solaris版Server Sensor 6.0および6.5をアンインストールおよび停止した際に、ホストが停止したように見える事象についてレポートします。 現象： Server Sensorアンインストール時およびSensor停止時に、ホスト自体がほぼ停止したような状態になり、リセットを行わない限り復帰しなくなります。なおRealSecure Server Sensor 6.5のReadmeには、同様の内容が既知の問題として報告されております。下記Webページをご参照ください。なお、このページではユーザー名とパスワードを要求される場合があります。 https://www.isskk.co.jp/eval/readme/rs65svsrnj.html?downloadButtonRS65-30=Server+Sensor+%82%A8% 93%C7%82%DD%82%AD%82%BE%82%B3%82%A2 原因： Server Sensorアンインストール時および停止時には、disableBsm.shスクリプトが起動します。事象はdisableBsm.sh動作中に発生します。事象発生時にps -efコマンドを実行すると、disableBsm.shプロセスが動作中であることを確認できます。disableBsm.shでは下記のような処理を行っています。 auditdを停止します Server Sensorが自身のauditをするために書き込んだaudit_eventを設定前の状態に戻すためバックアップを使いコピーします auditdを開始します auditconfig -confコマンドを使用し、カーネルイベントとクラスのマッピングが、audit_eventファイル内の現在のマッピングと一致するように再構成します。なおauditconfigコマンドに関する詳細はhttp://docs.sun.com/のBSMマニュアルを参照してください。 事象発生時のAuditing has been turned off unexpectedlyメッセージから、上記の4.で問題が発生している可能性が高いと考えられます。またそのときに異常が発生しaudit_warnが動作していると考えられます。このとき、CPUパワーを大量に消費するため、アンインストールやSensor停止を開始した（内部的にdisableBsm.shスクリプトを起動した）コンソールからは、以後の作業が全く行えなくなってしまい、ホスト自体をリセットする必要があります。この問題はauditd再起動の際のSolarisのバグであることが確認されております。 回避策： 事象が発生した場合CPUパワーを大量に消費するため、Server Sensorアンインストールを開始したコンソールから継続的に作業を続行することは不可能になってしまいます。ただし他にコンソールを起動しておけば、反応は極端に鈍いもののauditdを再起動することにより、停止状態を回避することができます。 Server Sensorのアンインストール/停止作業開始前に別にコンソールを起動 事象が発生した場合は1で起動しておいた別のコンソールから/etc/init.d/audit startコマンドを実行 これによりauditdが再起動され、停止状態から復旧することができます。 対処： 現在のところ、弊社において対応する予定はございません。お手数ですが、上記回避策にて対応をお願いします。

以上

Internet Security Systemsのロゴおよび、Internet Security Systems の各商品はInternet Security Systems, Inc. の商標または登録商標です。その他企業のロゴと製品名はそれぞれの企業の商標または登録商標です。