PAN-os 6.0.1: temas abordados
20348
Created On 09/26/18 13:48 PM - Last Modified 06/08/23 08:54 AM
Resolution
Las siguientes cuestiones se han abordado en la publicación de pan-os 6.0.1.
| Incidencia | Descripción |
|---|---|
| 61193 | Un error de cadena de certificado estaba causando errores de commit debido a un cambio de código IKE en 6.0.0. La corrección cambia el error que hace que el commit falle en una advertencia para que la confirmación pueda tener éxito. |
| 61004 | Abordó un problema en el que un usuario de una función de administración personalizada sólo podía ver los registros de coincidencia de cadera, pero no podía ver los detalles del registro. Al hacer clic en el icono de catalejo en la interfaz web se abrió la vista de registro detallado, pero no se mostró la información. |
| 60971 | Después de una actualización a pan-os 6.0.0, las actualizaciones dinámicas programadas no se podían empujar de panorama a dispositivos administrados. |
| 60826 | Los problemas relacionados con las etiquetas con paréntesis se estaban produciendo después de actualizar a pan-os 6.0.0, y las etiquetas con paréntesis no se podían crear, editar o eliminar. En pan-os 6.0.1, los paréntesis de las etiquetas existentes se sustituyen por Comillas y las nuevas etiquetas que se crean no pueden incluir paréntesis. |
| 60816 | Después de actualizar a PAN-OS 6.0.0, syslog conexión estado advertencias para todas las conexiones definidas syslog aparecieron en el registro del sistema cada hora y fueron clasificadas como críticas. Esto fue causado por una rotación horaria programada del archivo de registro syslog-ng, durante el cual se reiniciará el daemon syslog-ng. Este problema se ha solucionado añadiendo una condición para el proceso de rotación de archivos de registro que requiere el archivo de registro de 10 MB o más y el aviso de estado de conexión sólo se verá una vez cada pocos meses. |
| 60780 | En los cortafuegos de la serie PA-5000, los reinicios se vieron en condiciones de carga pesada y se debieron al fallo de supervisión de path interno. Se han hecho mejoras para evitar tales rearranques. |
| 60700 | las interfaces SFP de cobre de 1GB que pertenecen a un grupo agregado a veces mostraban el estado del vínculo como hacia abajo después de un reinicio del firewall. |
| 60677 | Las consultas de asignación de grupos fallaron cuando se realizaron búsquedas en grupos anidados con nombres de grupo largos. Las consultas de búsqueda mostraron los miembros del grupo que falta. Esto era debido a la cadena de consulta (grupos/anidar grupos) se trunca en 39 caracteres. |
| 60650 | Cuando se utiliza la interfaz web para configurar SNMPv3 en un par ha, el campo EngineID debe ser opcional; sin embargo, se puede hacer clic en el botón Aceptar cuando este campo estaba en blanco. Esto se ha corregido para que el campo EngineID sea opcional. |
| 60564 | En panorama, se generó un mensaje de registro del sistema cuando se truncaba un archivo de registro utilizado para el procesamiento interno. Este mensaje de registro del sistema no es relevante para el administrador y no se mostrará en el registro del sistema. |
| 60510 | Error al intentar revocar los certificados SSL generados en panorama. El problema fue causado por un error de comprobación de verificación interna que incluía objetos de certificado compartidos utilizados en grupos de dispositivos que incluyeron firewalls habilitados para varios sistemas virtuales. La comprobación de verificación ha sido corregida. |
| 60505 | Los paquetes SYN se cayeron si una sesión con las mismas direcciones IP de origen y destino, así como los protocolos de puerto e IP, llega a la sesión existente en el momento del período de tiempo de espera de edad. |
| 60502 | En el monitor de interfaz Web de panorama, el número máximo de páginas mostradas para los logs no es consistente en función de los números de registro mostrados por página. |
| 60412 | El usuario no pudo modificar el logotipo personalizado debido a una opción no reconocida de tipo MIME (dispositivo > configuración > operaciones > logotipos personalizados). |
| 60347 | Algunos ajustes de ruta de servicio no se podían configurar cuando la interfaz web se configuraba en un idioma distinto del inglés. |
| 60337 | Se ha corregido un problema en el que la API XML mostraba contadores de hardware vacíos para mostrar interfaz dedicada-HA1. |
| 60274 | Se ha corregido un problema en el que la API XML mostraba un error al ejecutar Show HA1 de interfaz de alta disponibilidad utilizando la API REST. |
| 60225 | Se ha corregido un problema en el que la API XML mostraba un error al ejecutar la revancha de la sesión con la API REST. |
| 60201 | En una configuración de ha activa/activa, un problema de temporización de renegociación de claves de IPSec hizo que la nueva sesión IPSec se configurara como descartar hasta el siguiente reintroducir. Esto causó la pérdida de tráfico hasta la nueva renegociación clave del túnel. |
| 60189 | Cuando los pares activos/pasivos de alta disponibilidad pierden la comunicación en los enlaces HA1 y HA2, una condición de regata causó que el plan de la misma se reiniciara. |
| 60070 | Para que los dispositivos Android puedan conectarse al registro del dispositivo de Mobile Security Manager para la inscripción y los registros posteriores, el certificado de la CA raíz tuvo que utilizarse para firmar el certificado de servidor de la interfaz de protección del dispositivo en el portal configuración que se estaba entregando a los dispositivos Android. Esto se aplica incluso si ha adquirido un certificado de servidor de una CA bien conocida y de confianza, como se recomienda. Esto se debe a que la aplicación Android GlobalProtect no se ve en su almacén del sistema para la verificación de certificados con este Fix, GlobalProtect Android App primero buscará en su almacén del sistema para la verificación de certificados. Si esto no funciona, la aplicación procederá a verificar los certificados contra el CAS desde la configuración del portal. |
| 60063 | El descifrado SSL con Internet Explorer no era coherente con los nombres comunes de los certificados, lo que resultaba en errores de coincidencia de nombres para algunos sitios. |
| 60035 | Cuando se configuró una zona externa con un perfil de protección de zona aplicado, los paquetes IPv6 grandes estaban causando que los procesos de planeo de los mismos fallaran cuando se enviaban a través de la zona. |
| 60012 | Problemas solucionados que estaban causando el filtrado en la interfaz web para devolver resultados incorrectos. |
| 60011 | Cuando una plantilla de configuración del agente de ID de usuario fue empujada de panorama a un dispositivo administrado, las actualizaciones de contenido de la aplicación no estaban disponibles para ver o clonar en la lista de filtros de syslog en la interfaz web (dispositivo > identificación del usuario > mapping de usuario > configuración del agente de ID de usuario > Filtros syslog). |
| 59991 | En una configuración de puerta de enlace compartida, cuando el cortafuegos se configuró para soltar el tráfico nated de destino entrante para una aplicación determinada, los registros de tráfico para el tráfico nated de destino que se desbloqueó mostraron la dirección posterior a la traducción en lugar de la pre-traducida Dirección. Este problema se fijó mostrando la dirección IP de origen original en los registros de tráfico en lugar de la dirección IP traducida. |
| 59989 | La interfaz Web de panorama no mostraba datos en el monitor > logs > página de envíos de Wildfire. Una consulta para los datos sin filtros continuó cargando durante una cantidad significativa de tiempo y, a continuación, el tiempo de espera. Esto se debió a los registros de amenazas que no se manejaron correctamente por panorama Running pan-os 6.0.0 cuando se recibieron de los recopiladores de logs ejecutando versiones anteriores a pan-os 6.0.0. |
| 59973 | Para los dispositivos Android que estaban siendo administrados por el GlobalProtect Mobile Security Manager, al autenticarse en el Gateway GlobalProtect mediante autenticación de certificado de cliente, la aplicación GlobalProtect para Android no buscaba el certificado de identidad emitidos al dispositivo durante la matrícula. Por lo tanto, los certificados de identidad no se utilizan para la autenticación de Gateway como se esperaba. Esto se ha corregido para que los dispositivos Android puedan utilizar certificados de identidad para la autenticación de Gateway. |
| 59967 | Cuando el cortafuegos se configuró como un satélite GlobalProtect y recibía rutas de acceso desde otro cortafuegos configurado como Gateway GlobalProtect, el contador de recursos de enrutamiento para rutas estáticas no se incrementó ni disminuyó correctamente. Este comportamiento causó el número máximo de rutas a ser alcanzado artificialmente y el cortafuegos dejó de aceptar actualizaciones de enrutamiento. La corrección de este problema reajusta los contadores para las rutas estáticas y las rutas totales cuando se crea una ruta estática redundante o se elimina una no existente. |
| 59915 | El campo filtro de la página de seguridad de directivas > de la interfaz web devolvió distintos resultados cuando se introdujeron cadenas con el mismo valor, pero se introdujo un patrón diferente. Por ejemplo, XX. XX. XX. 0-24 es un nombre de objeto de dirección que incluye el patrón de IP/máscara de máscaras XX. XX. XX. 0/24. Al introducir cualquiera de las cadenas en el filtro se deben devolver los mismos resultados de búsqueda, pero una consulta mostraba menos resultados que la otra. |
| 59890 | Cuando un cortafuegos PA-4050 alcanzó el límite para las sesiones descifradas simultáneas soportadas por Max, el plan de los mismos se reiniciaba. Se ha añadido una corrección para asegurarse de que el dispositivo dejará de descifrar las sesiones una vez que se alcance el límite y no se producirá un reinicio. |
| 59873 | No se pudo establecer una sesión TCP cuando se habilitaron las cookies SYN y se configuraron ambos perfiles de protección de dos agregados y clasificados. |
| 59772 | Los registros de tráfico de los recopiladores de registros no eran visibles en la interfaz Web de panorama. |
| 59707 | La información de NTP en el cortafuegos se mostró de manera que podría provocar confusión; por ejemplo, indicando que el servidor con el que está sincronizado el dispositivo no está conectado (conectado: false). La información del NTP ahora se muestra más claramente (dispositivo > Setup > servicios). |
| 59574 | Se ha corregido un problema en el que un perfil antivirus de Internet Explorer y navegadores Firefox no mostraba la acción predeterminada entre paréntesis (Alert/Drop/) para los decodificadores. |
| 59471 | Resolvió un problema al registrar etiquetas dinámicas en el cortafuegos de la serie VM. El cortafuegos de la serie VM no permite registrar etiquetas dinámicas que incluyan el carácter de presupuesto único. |
| 59343 | Cuando se configuró una directiva de seguridad que no tenía un perfil de filtrado de URL aplicado, los registros de filtrado de URL aún se estaban generando y se veían en la página de filtrado de URL de monitor >. |
| 59309 | Los informes de actividad del usuario mostraban resultados incoherentes. Esto se debió a que la generación de informes de actividad del usuario tomaba demasiado tiempo. El tiempo de espera para la generación de informes de actividad del usuario se ha ampliado para que los informes solicitados se ejecuten hasta que todos los datos estén completamente recopilados. |
| 59276 | Los informes de bots no se generaron al utilizar la base de datos BrightCloud. |
| 59256 | Error al realizar una importación de SCP del archivo logdb: no se pudo comprobar la importación de logdb. |
| 59180 | La configuración de la sesión entre un cliente y un servidor no se completó en un entorno activo/activo de ha cuando se configuró con multi-VSYS y multi-VR. El cliente de un sistema virtual no pudo llegar al servidor ubicado en un segundo sistema virtual porque la sesión del segundo sistema virtual no se configuró correctamente. |
| 59126 | En una configuración activa/pasiva de ha, los vecinos de OSPF y BGP bajaron en un dispositivo activo después de que el dispositivo pasivo se reiniciara inesperadamente. |
| 59031 | Cuando los usuarios de admin intentaron iniciar sesión en la CLI sin iniciar sesión previamente en la interfaz web y había un perfil de autenticación RADIUS configurado, el cortafuegos envió una solicitud al servidor RADIUS con una contraseña no válida que era diferente de la presentado por el usuario. Esto resultó en que los usuarios válidos no podían autenticarse en el servidor RADIUS. |
| 58971 | La salida CLI para el comando Mostrar protocolo de enrutamiento BGP Loc-rib-detalle muestra el campo de la comunidad incorrectamente cuando ciertas combinaciones de prefijos aparecieron en las direcciones IP de los vecinos BGP. |
| 58736 | Las notificaciones de Wildfire email no contenían una cabecera de fecha. |
| 58586 | Se ha corregido la incapacidad de iniciar sesión en la interfaz Web de panorama. Este problema se produjo porque la partición raíz de un dispositivo M-100 estaba en un 100% de uso debido a que los informes antiguos se almacenaban incorrectamente en el directorio/tmp |
| 58421 | Después de una actualización de 4.1.11 a 5.0.5, algunos cortafuegos con poca frecuencia experimentaron reinicios inesperados. |
| 58268 | El tráfico se bloqueó a veces durante el descifrado SSL cuando se habilitó la opción usar OCSP para comprobar el estado del certificado. |
| 58215 | La salida del comando CLI mostrar el área OSPF del Protocolo de enrutamiento se actualizó para proporcionar mayor claridad a los valores definidos. |
| 58212 | No se pudieron agregar nuevos sistemas virtuales después de aplicar una licencia de sistemas virtuales. Sólo se pueden agregar nuevos sistemas virtuales después de reiniciar el servidor de administración. |
| 57997 | En una configuración activa/activa de ha, el estado del agente de ID de usuario se mostró como conectado en el dispositivo secundario activo. Este problema se ha solucionado y el dispositivo secundario activo sólo mostrará un estado de agente de identificador de usuario de desconectado, ya que sólo el dispositivo principal activo se conecta a los servidores de ID de usuario. |
| 57660 | Los puertos de administración del cortafuegos de la serie PA-2000 no se enlazaron cuando se conectaron directamente mediante un cable recto o cruzado. |
| 57601 | Se ha corregido un problema en el que los registros de filtrado de datos mostraban nombres de archivo incorrectos cuando el patrón de datos coincidía con los archivos. |
| 57261 | Se registró una sesión denegada con la acción mostrada como allow. Esto ocurrió cuando la aplicación denegada se encontraba en el puerto 80 y activó la redirección del portal cautivo. |
| 56905 | Cuando un firewall de la serie PA-5000 recibió más de 3000 prefijos BGP, la interfaz web mostró un error (comando OP para el cliente enrutado tiempo de espera) al mostrar la costilla local para BGP y cuando el comando Mostrar protocolo de enrutamiento BGP Loc-rib-detalle fue emitido, la CLI se devolvió el error del servidor de error: comando OP para el tiempo de salida del cliente enrutado. |
| 55318 | El siguiente mensaje de advertencia de confirmación se incluye ahora cuando se utilizan comodines anidados en una configuración de filtrado de URL: ADVERTENCIA: el comodín anidado (*) en las URLs puede tener un impacto severo en el rendimiento. Se recomienda usar un solo comodín para cubrir múltiples tokens o un caret(^) a un token único. |
| 50932 | En una configuración activa/pasiva de ha, el término semilla se eliminó de la semilla de sincronización pan-dB con el mensaje ha como la caché de MP es la que está sincronizada en lugar de SEED y se ha corregido un problema en el que la caché de MP sincronizada no se carga en el dispositivo pasivo. |
| 47642 | Se dirigió a la incapacidad de escribir registros en disco. Este problema se debe a que la configuración del grupo colector y colector administrado se configuró antes de que el recopilador administrado haya establecido alguna vez una conexión con panorama. Con esta corrección, panorama le permite configurar el grupo de coleccionista sólo después de que el recopilador administrado se haya conectado al menos una vez; Panorama puede verificar la disponibilidad del disco (s) y su tamaño. Esto asegura que el archivo de timbre está correctamente calculado y los registros se escriben correctamente en el disco. |
| 41347 | Los filtros de captura de paquetes no filtraban la información con precisión. La solución garantiza que los filtros pcap coinciden con los criterios definidos en el dispositivo y capturan con precisión todos los cuadros relevantes de la sesión. |
Propietario: panagent