Pan-OS 6.0.1: Themen angesprochen
19256
Created On 09/26/18 13:48 PM - Last Modified 06/08/23 08:54 AM
Resolution
Die folgenden Probleme wurden in Pan-OS 6.0.1 Release behandelt.
| Problem | Beschreibung |
|---|---|
| 61193 | Ein Fehler bei der Zertifikatskette verursachte Commit-Ausfälle aufgrund einer IKE-Code-Änderung in 6.0.0. Die Korrektur ändert den Fehler, der dazu führt, dass die Commit zu einer Warnung scheitert, so dass die Übergabe erfolgreich sein kann. |
| 61004 | Es wurde ein Problem angesprochen, bei dem ein Benutzer in einer benutzerdefinierten admin-Funktion nur Hip-Match-Protokolle einsehen konnte, aber keine Log-Details einsehen konnte. Ein Klick auf das Spyglass-Symbol auf der Web-Schnittstelle öffnete die detaillierte Log-Ansicht, aber die keine Informationen wurden angezeigt. |
| 60971 | Nach einem Upgrade auf Pan-OS 6.0.0 konnten die geplanten dynamischen Updates nicht von Panorama auf verwaltete Geräte geschoben werden. |
| 60826 | Probleme im Zusammenhang mit Tags mit Klammern ereigneten sich nach dem Upgrade auf Pan-OS 6.0.0, und Tags mit Klammern konnten nicht erstellt, bearbeitet oder gelöscht werden. In Pan-OS 6.0.1 werden die Klammern in bestehenden Tags durch Anführungszeichen ersetzt und neue Tags, die Sie erstellen, können keine Klammern enthalten. |
| 60816 | Im Anschluss an ein Upgrade auf PAN-OS 6.0.0 Syslog Verbindung Statuswarnungen für alle definierten Syslog Verbindungen erschien im Systemprotokoll stündlich und wurden als kritisch eingestuft. Ursache war von einer geplanten stündlichen Rotation der Syslog-ng-Log-Datei, in denen der Syslog-ng-Daemon neu starten würde. Dieses Problem wurde behoben, indem Sie die Log-Datei Rotationsverfahren erfordern die Log-Datei 10 MB oder mehr werden eine Bedingung hinzufügen und die Verbindung Status Warnung wird nur einmal alle paar Monate gesehen werden. |
| 60780 | Bei Firewalls der PA-5000-Serie wurden Neustarts unter schweren Belastungsbedingungen gesehen und waren auf den Ausfall der internen Pfad Überwachung zurückzuführen. Es wurden Verbesserungen vorgenommen, um solche Neustarts zu vermeiden. |
| 60700 | 1 GB Kupfer-SFP-Schnittstellen, die zu einer Aggregat Gruppe gehören, würden manchmal den Link-Status nach einem Neustart der Firewall anzeigen. |
| 60677 | Gruppen-Mapping-Abfragen scheiterten, wenn verschachtelte Gruppen mit langen Gruppennamen durchsucht wurden. Die Suchanfragen zeigte Gruppenmitglieder zu fehlen. Dies lag an den Query-String (Gruppen/verschachtelte Gruppen) bei 39 Zeichen abgeschnitten wird. |
| 60650 | Wenn Sie die Web-Schnittstelle verwenden, um SNMPv3 auf einem ha-paar zu konfigurieren, sollte das EngineID-Feld optional sein; Allerdings konnte der OK-Button geklickt werden, wenn dieses Feld leer war. Dies wurde so behoben, dass das EngineID-Feld optional ist. |
| 60564 | Auf Panorama wurde eine System Protokoll-Meldung erstellt, wenn eine Protokolldatei, die für die interne Verarbeitung verwendet wurde, abgeschnitten wurde. Diese System Protokoll-Nachricht ist für den Administrator nicht relevant und wird nicht im System Protokoll angezeigt. |
| 60510 | Ein Versuch, SSL-Zertifikate auf Panorama zu widerrufen, scheiterte. Das Problem wurde durch einen internen Verifizierungs Fehler verursacht, bei dem geteilte Zertifikats Objekte in Gerätegruppen verwendet wurden, die Firewalls enthielten, die für mehrere virtuelle Systeme aktiviert waren. Die Verifizierungs Prüfung wurde korrigiert. |
| 60505 | SYN-Pakete wurden fallen gelassen, wenn eine Sitzung mit den gleichen Quell-und Ziel-IP-Adressen und Port-und IP-Protokollen zur bestehenden Sitzung zum Zeitpunkt der Altersteilzeit-Wartezeit kommt. |
| 60502 | Auf dem Panorama-Web-Interface-Monitor ist die maximale Anzahl der Seiten, die für Protokolle angezeigt werden, nicht konsistent, je nachdem, welche Protokoll Nummern pro Seite angezeigt werden. |
| 60412 | Der Benutzer war nicht in der Lage, das benutzerdefinierte Logo aufgrund einer nicht erkannten "MIME-Type"-Option zu ändern (Gerät > Setup > Operationen > Custom Logos). |
| 60347 | Einige Service-Routen-Einstellungen konnten nicht konfiguriert werden, wenn die Web-Schnittstelle auf eine andere Sprache als Englisch gesetzt wurde. |
| 60337 | Es wurde ein Fehler behoben, bei dem XML API leere Hardware-Zähler für Show Interface dedizierte-HA1. |
| 60274 | Es wurde ein Problem behoben, bei dem die XML-API einen Fehler zeigte, wenn Sie mit der Rest-API eine hochverfügbare Schnittstelle HA1. |
| 60225 | Es wurde eine Ausgabe behoben, bei der die XML-API einen Fehler zeigte, wenn die Show-Session mit der Rest-API ausgeführt wurde. |
| 60201 | In einem aktiven/aktiven ha-Setup führte eine IPSec-Schlüssel-Neuverhandlung-Timing-Ausgabe dazu, dass die neue IPSec-Session bis zur nächsten Rekey abgelegt wurde. Das verursachte einen Verkehrs Verlust bis zur nächsten Tunnel Schlüssel-Neuverhandlung. |
| 60189 | Als eine hohe Verfügbarkeit aktiver/passiver Peers die Kommunikation auf HA1 und HA2 Links verlor, führte eine rassenbedingung dazu, dass das dataplane neu gestartet wurde. |
| 60070 | Damit sich Android-Geräte mit dem gerätecheck des mobilen Sicherheitsmanagers für die Einschreibung und die anschließenden Check-ins verbinden können, musste das Root-CA-Zertifikat verwendet werden, um das Server-Zertifikat für die Geräte-Check-in-Schnittstelle im Portal zu signieren. Konfiguration, die an Android-Geräte ausgeliefert wurde. Dies galt auch dann, wenn Sie ein Server-Zertifikat von einer bekannten, vertrauenswürdigen CA wie empfohlen erworben haben. Das lag daran, dass die globalprotect Android-App nicht in Ihrem System Store zur Zertifikats Überprüfung mit dieser Fix aussieht, globalprotect Android App wird zunächst in Ihrem System Store nach Zertifikats Überprüfung suchen. Scheitert dies, wird die APP zur Überprüfung von Zertifikaten gegen den CAS aus der Portal Konfiguration übergehen. |
| 60063 | Die SSL-Entschlüsselung mit dem Internet Explorer war mit den üblichen Namen des Zertifikats unvereinbar, was zu namens Fehlern für einige Seiten führte. |
| 60035 | Wenn eine externe Zone mit einem darauf angewandten Zonen Schutzprofil konfiguriert wurde, verursachten große IPv6-Pakete, dass dataplane-Prozesse fehlschlagen, wenn Sie durch die Zone gesendet wurden. |
| 60012 | Adressierte Probleme, die das Filtern auf der Web-Schnittstelle verursachten, um falsche Ergebnisse zurückzugeben. |
| 60011 | Als eine User-ID-Agent-Setup-Vorlage von Panorama auf ein verwaltetes Gerät geschoben wurde, waren die Updates für die Anwendungs Inhalte nicht für das betrachten oder Klonen in der syslog-Filterliste in der Web-Schnittstelle verfügbar (Gerät > Benutzeridentifikation > User-Mapping > User ID Agent Setup > Syslog-Filter). |
| 59991 | In einem gemeinsamen Gateway-Setup, als die Firewall so konfiguriert wurde, dass der Inbound-Bestimmungsort für eine bestimmte Anwendung abgesetzt wird, zeigten die Verkehrsprotokolle für den Bestimmungsort, die gelöscht werden sollen, die nach übersetzte Adresse anstelle der vorüber setzten Adresse. Diese Ausgabe wurde behoben, indem die ursprüngliche Quelle-IP-Adresse in den Traffic-Protokollen anstelle der übersetzten IP-Adresse angezeigt wurde. |
| 59989 | Die Panorama-Web-Schnittstelle zeigte keine Daten auf der Seite Monitor > Logs > Wildfire-Einsendungen. Eine Abfrage nach den Daten ohne Filter wurde für eine beträchtliche Zeit weiter geladen und dann schließlich ausgelaufen. Dies war auf Bedrohungs Protokolle zurückzuführen, die von Panorama Running Pan-OS 6.0.0 nicht korrekt behandelt wurden, wenn Sie von Log-Sammlern mit Releases vor Pan-OS 6.0.0 empfangen wurden. |
| 59973 | Für Android-Geräte, die vom globalprotect Mobile Security Manager verwaltet wurden, bei der Authentifizierung auf dem globalprotect-Gateway mittels Client-Zertifikat-Authentifizierung, sah die globalprotect-App für Android nicht den Identitätsnachweis während der Einschreibung an das Gerät ausgegeben. Ausweis Zertifikate wurden daher nicht wie erwartet für die Gateway-Authentifizierung verwendet. Dies wurde behoben, so dass Android-Geräte in der Lage sind, Identitäts Zertifikate für die Gateway-Authentifizierung zu verwenden. |
| 59967 | Als die Firewall als globalprotect-Satellit konfiguriert wurde und Zugriffs Routen von einer anderen Firewall erhielt, die als globalprotect-Gateway konfiguriert war, wurde der Routing-Ressourcen Zähler für statische Routen nicht korrekt erhöht oder dezitiert. Dieses Verhalten führte dazu, dass die maximale Anzahl der Routen künstlich erreicht wurde und die Firewall die Routing-Updates nicht mehr akzeptierte. Die Korrektur für diese Ausgabe passt die Zähler für statische Routen und Gesamt Routen an, wenn Sie eine redundante statische Route erstellen oder eine nicht existierende löschen. |
| 59915 | Das Filter Feld auf der Policies-Sicherheitsseite der Web-Schnittstelle gab verschiedene Ergebnisse zurück, wenn Strings mit dem gleichen Wert, aber unterschiedliche Muster eingegeben wurden. Zum Beispiel ist XX. xx. xx. 0-24 ein Adress Objekt-Name, der das IP/Netmask-Muster XX. xx. xx. 0/24 enthält. Die Eingabe einer beliebigen Zeichenkette im Filter sollte die gleichen Suchergebnisse liefern, aber eine Abfrage zeigte weniger Ergebnisse als die andere. |
| 59890 | Als eine PA-4050-Firewall das Limit für maximal unterstützte, gleichzeitig entschlüsselte Sessions erreichte, wurde das dataplane neu gestartet. Eine Korrektur hat hinzugefügt, um sicherzustellen, dass das Gerät die Entschlüsselung von Sitzungen stoppt, sobald das Limit erreicht ist und ein Neustart nicht stattfinden wird. |
| 59873 | Eine TCP-Session konnte nicht erstellt werden, wenn SYN-Cookies aktiviert wurden und sowohl aggregierte als auch klassifizierte DOS-Schutz Profile konfiguriert wurden. |
| 59772 | Verkehrsprotokolle von Holz Sammlern waren auf der Panorama-Webschnittstelle nicht zu sehen. |
| 59707 | NTP-Informationen über die Firewall wurden in einer Weise angezeigt, die zu Verwirrung führen könnte; zum Beispiel ist die Angabe, dass der Server, mit dem das Gerät synchronisiert ist, nicht verbunden (verbunden: falsch). NTP-Informationen werden nun deutlicher angezeigt (Device > Setup > Services). |
| 59574 | Es wurde ein Fehler behoben, bei dem ein Antiviren-Profil auf Internet Explorer und Firefox-Browsern die Standard-Aktion in Klammern (Alert/Drop/) für die Decoder nicht zeigte. |
| 59471 | Löste ein Problem mit der Registrierung dynamischer Tags auf der VM-Serie Firewall. Die Firewall der VM-Serie erlaubte es Ihnen nicht, dynamische Tags zu registrieren, die das einzelne Zitat-Zeichen enthalten. |
| 59343 | Als eine Sicherheitsrichtlinie konfiguriert wurde, die kein URL-Filter Profil hatte, wurden immer noch URL-Filter Protokolle generiert, die auf der Seite Monitor > URL-Filterung sichtbar waren. |
| 59309 | Die Berichte über die Benutzeraktivität zeigten widersprüchliche Ergebnisse. Das lag daran, dass der User-Activity-Report Generation zu lange und zum Timing ausgab. Die Timeout für die Benutzeraktivität Report Generation wurde erweitert, so dass die angeforderten Berichte laufen, bis alle Daten vollständig gesammelt sind. |
| 59276 | Botnet-Berichte wurden bei der Verwendung der brightcloud-Datenbank nicht generiert. |
| 59256 | Die Durchführung eines SCP-Imports der logdb-Datei scheiterte mit dem Fehler: nicht für den logdb-Import zu überprüfen. |
| 59180 | Das Session-Setup zwischen einem Client und einem Server wurde nicht in einer ha-aktiven/aktiven Umgebung abgeschlossen, wenn es mit Multi-Vsys und Multi-VR konfiguriert wurde. Der Client von einem virtuellen System konnte den Server, der sich auf einem zweiten virtuellen System befindet, nicht erreichen, da die Sitzung im zweiten virtuellen System nicht korrekt eingerichtet wurde. |
| 59126 | In einem ha Active/Passive Setup gingen OSPF und BGP-Nachbarn auf ein aktives Gerät, nachdem das passive Gerät unerwartet neu gestartet wurde. |
| 59031 | Als admin-Nutzer versuchten, sich in das CLI einzuloggen, ohne sich vorher in die Web-Schnittstelle einzuloggen und ein RADIUS-Authentifizierungs Profil konfiguriert wurde, schickte die Firewall eine Anfrage an den RADIUS-Server mit einem ungültigen Passwort, das sich von dem unterscheidet vom Nutzer eingereicht. Dies führte dazu, dass sich gültige Benutzer nicht auf dem RADIUS-Server authentifizieren konnten. |
| 58971 | Die CLI-Ausgabe für das Command-Show-Routing-Protokoll BGP Loc-Rib-Detail zeigte das Community-Feld falsch an, wenn bestimmte Präfix-Kombinationen in den IP-Adressen der BGP-Nachbarn auftauchten. |
| 58736 | Wildfire e-Mail-Benachrichtigungen enthielten keinen Datums Header. |
| 58586 | Die Unfähigkeit, sich in die Panorama-Webschnittstelle einzuloggen, wurde behoben. Dieses Problem trat auf, weil die Root-Partition auf einem M-100-Gerät bei 100% genutzt wurde, da alte Berichte falsch im/tmp-Verzeichnis gespeichert wurden. |
| 58421 | Nach einem Upgrade von 4.1.11 auf 5.0.5 erlebten einige Firewalls selten unerwartete Neustarts. |
| 58268 | Der Verkehr wurde manchmal während der SSL-Entschlüsselung blockiert, wenn die Option OCSP zur Überprüfung des Zertifikats Status aktiviert wurde. |
| 58215 | Die Ausgabe des CLI-Befehls show-Routing-Protokolls OSPF-Bereich wurde aktualisiert, um mehr Klarheit für die definierten Werte zu schaffen. |
| 58212 | Neue virtuelle Systeme könnten nach der Anwendung einer virtuellen System Lizenz nicht mehr hinzugefügt werden. Neue virtuelle Systeme könnten erst nach dem Neustart des Management-Servers hinzugefügt werden. |
| 57997 | In einem ha-aktiven/aktiven Setup wurde der Status des User-ID-Agenten als auf dem Active-Sekundär-Gerät verbunden angezeigt. Dieses Problem wurde angesprochen, und das Active-sekundäre-Gerät wird nur einen User-ID-Agent-Status von nicht getrennt anzeigen, da nur das Active-primäre-Gerät mit den User-ID-Servern verbunden ist. |
| 57660 | Die Management-Ports der PA-2000-Serie wurden nicht miteinander verknüpft, wenn Sie direkt über ein Straight oder Crossover-Kabel verbunden wurden. |
| 57601 | Es wurde ein Fehler behoben, bei dem Daten Filter Protokolle falsche Dateinamen zeigten, wenn das Datenmuster mit den Dateien abgestimmt wurde. |
| 57261 | Eine verweigerte Sitzung wurde mit der Aktion, die als erlaubt angezeigt wurde, protokolliert. Dies geschah, als die Anwendung verweigert wurde auf Port 80 und löste das Gefangene Portal Umleitung. |
| 56905 | Als eine Firewall der PA-5000-Serie mehr als 3000 BGP-Präfixe erhielt, zeigte die Web-Schnittstelle einen Fehler (op-Befehl für Clients, der abgelaufen ist), wenn die lokale Rippe für BGP angezeigt wurde und wenn das Befehls show-Routing-Protokoll BGP Loc-Rib-Detail ausgegeben wurde, wurde das CLI gab den Fehler Server-Fehler: op-Befehl für Client-ausgerollt. |
| 55318 | Die folgende Commit-Warnmeldung ist jetzt enthalten, wenn verschachtelte Wildcards in einer URL-Filter Konfiguration verwendet werden: Warnung: verschachtelte Wildcard (*) in URLs kann die Leistung stark beeinträchtigen. Es wird empfohlen, einen einzelnen Platzhalter verwenden, um mehrere Token oder ein caret(^), ein einzelnes Token Zielen zu decken. |
| 50932 | In einem ha Active/Passive Setup wurde der Begriff Samen aus Pan-DB-Sync-Saatgut mit ha-Nachricht entfernt, da MP-Cache derjenige ist, der synchronisiert ist und nicht Saatgut und ein Problem behoben hat, bei dem der synchronisierte MP-Cache nicht auf dem passiven Gerät geladen wird. |
| 47642 | Die Unfähigkeit, Protokolle auf die Festplatte zu schreiben. Diese Ausgabe ereignete sich, weil die Konfiguration auf der verwalteten Sammler-und sammlergruppe eingerichtet wurde, bevor der verwaltete Sammler jemals eine Verbindung zu Panorama hergestellt hatte. Mit dieser Korrektur können Sie die Collector-Gruppe erst dann konfigurieren, wenn der verwaltete Sammler mindestens einmal angeschlossen hat; Panorama kann die Verfügbarkeit der Festplatten und ihrer Größe überprüfen. Dadurch wird sichergestellt, dass die ringdatei richtig berechnet wird und die Protokolle korrekt auf die Festplatte geschrieben werden. |
| 41347 | Paket Aufzeichnungs Filter haben Informationen nicht genau gefiltert. Das Update sorgt dafür, dass die Pcap Filter auf dem Gerät festgelegten Kriterien entsprechen und alle entsprechenden Bilder genau zu, in der Sitzung erfassen. |
Besitzer: Panagent