Pan-OS 6.0.1: problèmes abordés
19328
Created On 09/26/18 13:48 PM - Last Modified 06/08/23 08:54 AM
Resolution
Les problèmes suivants ont été abordés dans la version Pan-OS 6.0.1.
| Demande client | Description |
|---|---|
| 61193 | Une erreur de chaîne de certificats causait des échecs de validation en raison d'une modification de code IKE dans 6.0.0. Le correctif modifie l'erreur qui provoque l'échec de Commit à un avertissement afin que la validation peut être réussie. |
| 61004 | Abordé un problème où un utilisateur dans un rôle d'administrateur personnalisé ne pouvait afficher les journaux de correspondance Hip, mais n'a pas pu afficher les détails du journal. En cliquant sur l'icône Spyglass sur l'interface Web, vous avez ouvert la vue du journal détaillé, mais aucune information n'a été affichée. |
| 60971 | Après une mise à niveau vers Pan-OS 6.0.0, les mises à jour dynamiques planifiées n'ont pas pu être poussées de panorama vers des périphériques gérés. |
| 60826 | Les problèmes relatifs aux balises avec crochets se produisent après la mise à niveau vers Pan-OS 6.0.0, et les balises avec crochets ne peuvent pas être créées, modifiées ou supprimées. Dans Pan-OS 6.0.1, les crochets des balises existantes sont remplacés par des guillemets et de nouvelles balises que vous créez ne peuvent pas inclure des crochets. |
| 60816 | Suite à une mise à niveau vers PAN-OS 6.0.0, syslog connexion statut avertissements pour toutes les connexions définies syslog est apparu dans le journal système, toutes les heures et ont été classés comme critiques. Cela était dû à une rotation horaire régulier du fichier journal syslog-ng, au cours de laquelle le démon syslog-ng redémarrerait. Ce problème a été résolu en ajoutant une condition pour le processus de rotation de fichier journal nécessitant le fichier journal de 10 Mo ou plus, et l’avertissement de statut de connexion sera seulement vu une fois tous les quelques mois. |
| 60780 | Sur les pare-feu de la série PA-5000, les redémarrages ont été observés dans des conditions de charge lourde et étaient dus à une défaillance de la surveillance du chemin interne. Des améliorations ont été apportées pour éviter de tels redémarrages. |
| 60700 | 1 Go de cuivre SFP interfaces appartenant à un groupe d'agrégats montrerait parfois l'état du lien comme vers le bas après un redémarrage du pare-feu. |
| 60677 | Les requêtes de mappage de groupe ont échoué lorsque des groupes imbriqués avec des noms de groupe longs ont été recherchés. Les requêtes de recherche ont montré les membres du groupe à être absent. C’était à cause de la chaîne de requête (groupes groupes/imbriqués) étant tronquée à 39 caractères. |
| 60650 | Lorsque vous utilisez l'interface Web pour configurer SNMPv3 sur une paire ha, le champ EngineID doit être facultatif; Toutefois, le bouton OK peut être cliqué lorsque ce champ est vide. Cette option a été corrigée pour que le champ EngineID soit facultatif. |
| 60564 | Sur panorama, un message du journal système a été généré lorsqu'un fichier journal utilisé pour le traitement interne a été tronqué. Ce message du journal système n'est pas pertinent pour l'administrateur et ne sera pas affiché dans le journal système. |
| 60510 | Une tentative de révoquer les certificats SSL générés sur panorama a échoué. Le problème a été provoqué par un échec de vérification interne des objets de certificat partagés utilisés dans les groupes de périphériques qui incluaient des pare-feu activés pour plusieurs systèmes virtuels. Le contrôle de vérification a été corrigé. |
| 60505 | Les paquets SYN ont été supprimés si une session avec les mêmes adresses IP source et de destination ainsi que les protocoles port et IP viennent à la session existante au moment de la période d'attente de vieillissement. |
| 60502 | Sur le moniteur d'interface Web Panorama, le nombre maximal de pages affichées pour les journaux n'est pas cohérent en fonction des numéros de journal affichés par page. |
| 60412 | L'utilisateur n'a pas pu modifier le logo personnalisé en raison d'une option «mime-type» non reconnue (Device > Setup > Operations > Custom logos). |
| 60347 | Certains paramètres d'itinéraire de service n'ont pas pu être configurés lorsque l'interface Web a été définie sur une langue autre que l'anglais. |
| 60337 | Correction d'un problème où l'API XML affichait des compteurs matériels vides pour show interface Dedicated-HA1. |
| 60274 | Correction d'un problème dans lequel l'API XML affichait une erreur lors de l'exécution d'une interface HA1 à haute disponibilité à l'aide de l'API REST. |
| 60225 | Correction d'un problème dans lequel l'API XML affichait une erreur lors de l'exécution de la rematch de session Show à l'aide de l'API REST. |
| 60201 | Dans une installation ha active/active, un problème de synchronisation de renégociation de clé IPSec a provoqué la définition de la nouvelle session IPSec sur la valeur ignorer jusqu'au prochain recomposition. Cela a causé des pertes de trafic jusqu'à la prochaine renégociation clé du tunnel. |
| 60189 | Lorsque les pairs actifs/passifs de haute disponibilité ont perdu la communication sur les liens HA1 et HA2, une condition de course a provoqué le redémarrage du dataplane. |
| 60070 | Pour que les appareils Android puissent se connecter à l'enregistrement du périphérique du gestionnaire de sécurité mobile pour l'inscription et les archivages ultérieurs, le certificat de l'autorité de certification racine a dû être utilisé pour signer le certificat de serveur pour l'interface d'archivage du périphérique dans le portail configuration qui était livrée aux appareils Android. Cela s'applique même si vous avez acheté un certificat de serveur à partir d'une autorité de certification connue et approuvée, comme recommandé. C'est parce que le GlobalProtect Android App ne regarde pas dans son magasin de système pour la vérification de certificat avec ce correctif, GlobalProtect Android App sera d'abord regarder dans son magasin système pour la vérification des certificats. Si cela échoue, l'application procédera à la vérification des certificats par rapport au cas de la configuration du portail. |
| 60063 | Le décryptage SSL avec Internet Explorer était incohérent avec les noms communs de certificats, entraînant des erreurs de décalage de nom pour certains sites. |
| 60035 | Lorsqu'une zone externe a été configurée avec un profil de protection de zone qui lui est appliqué, les paquets IPv6 volumineux causaient l'échec des processus dataplane lorsqu'ils ont été envoyés via la zone. |
| 60012 | Abordé les problèmes qui causaient le filtrage sur l'interface Web pour retourner des résultats incorrects. |
| 60011 | Lorsqu'un modèle d'installation de l'agent d'identification de l'utilisateur a été poussé de panorama vers un périphérique managé, les mises à jour du contenu de l'application n'étaient pas disponibles pour l'affichage ou le clonage dans la liste des filtres syslog de l'interface Web (Device > identification de l'utilisateur > mappage utilisateur > User ID agent Setup > Filtres syslog). |
| 59991 | Dans une configuration de passerelle partagée, lorsque le pare-feu a été configuré pour supprimer le trafic nated destination entrante pour une application particulière, les journaux de trafic pour le trafic nated destination à être supprimé a montré l'adresse post-traduite au lieu de la pré-traduit Adresse. Ce problème a été résolu en affichant l'adresse IP source d'origine dans les journaux de trafic au lieu de l'adresse IP traduite. |
| 59989 | L'interface Web panorama n'affichait pas de données sur la page du moniteur > logs > Wildfire. Une requête pour les données sans filtres a continué à se charger pendant une période importante et a finalement expiré. Cela est dû aux journaux de menaces qui n'ont pas été gérés correctement par panorama exécutant Pan-OS 6.0.0 lorsqu'ils sont reçus de collecteurs de journaux qui exécutent des versions antérieures à Pan-OS 6.0.0. |
| 59973 | Pour les appareils Android gérés par le gestionnaire de sécurité mobile GlobalProtect, lors de l'authentification à la passerelle GlobalProtect à l'aide de l'authentification par certificat client, l'application GlobalProtect pour Android n'a pas cherché le certificat d'identité délivré à l'appareil pendant l'inscription. Les certificats d'identité n'étaient donc pas utilisés pour l'authentification de passerelle comme prévu. Cela a été corrigé de sorte que les appareils Android sont en mesure d'utiliser des certificats d'identité pour l'authentification Gateway. |
| 59967 | Lorsque le pare-feu a été configuré comme un satellite GlobalProtect et qu'il recevait des itinéraires d'accès à partir d'un autre pare-feu configuré en tant que passerelle GlobalProtect, le compteur de ressources de routage pour les itinéraires statiques ne s'incrémentait pas ou ne se décrémait pas correctement. Ce comportement a provoqué le nombre maximal d'itinéraires à atteindre artificiellement et le pare-feu a cessé d'accepter les mises à jour de routage. Le correctif pour ce problème réajuste les compteurs pour les itinéraires statiques et les itinéraires totaux lors de la création d'un itinéraire statique redondant ou la suppression d'un non-existant. |
| 59915 | Le champ filtre de la page de sécurité stratégies > de l'interface Web a retourné des résultats différents lorsque des chaînes avec la même valeur, mais un modèle différent ont été entrés. Par exemple, XX. xx. xx. 0-24 est un nom d'objet d'adresse qui inclut le modèle d'IP/masque de réseau XX. xx. xx. 0/24. L'entrée d'une chaîne dans le filtre doit retourner les mêmes résultats de recherche, mais une requête montre moins de résultats que l'autre. |
| 59890 | Lorsqu'un pare-feu PA-4050 a atteint la limite pour les sessions déchiffrées simultanées prises en charge par Max, le dataplane a redémarré. Un correctif a été ajouté pour s'assurer que le périphérique arrêtera les sessions de décryptage une fois que la limite est atteinte et qu'un redémarrage ne se produira pas. |
| 59873 | Une session TCP n'a pas pu être établie lorsque les cookies syn ont été activés et lorsque les profils de protection dos agrégés et classifiés ont été configurés. |
| 59772 | Les journaux de trafic des collecteurs de journaux n'étaient pas visibles sur l'interface Web panorama. |
| 59707 | Les informations du NTP sur le pare-feu ont été affichées de manière à provoquer une confusion; par exemple, indiquer que le serveur avec lequel le périphérique est synchronisé n'est pas connecté (connecté: false). Les informations NTP sont maintenant affichées plus clairement (Device > Setup > services). |
| 59574 | Correction d'un problème dans lequel un profil antivirus sur les navigateurs Internet Explorer et Firefox n'illustrait pas l'action par défaut entre parenthèses (alerte/Drop/) pour les décodeurs. |
| 59471 | Résolution d'un problème avec l'enregistrement de balises dynamiques sur le pare-feu de la série VM. Le pare-feu de la série VM ne vous permettait pas d'enregistrer des balises dynamiques qui incluent le caractère guillemet simple. |
| 59343 | Lorsqu'une stratégie de sécurité a été configurée et qu'aucun profil de filtrage d'URL n'a été appliqué, les journaux de filtrage d'URL étaient toujours générés et étaient visibles sur la page Monitor > URL Filtering. |
| 59309 | Les rapports d'activité des utilisateurs montraient des résultats incohérents. Ceci était dû à la génération de rapport d'activité d'utilisateur prenant trop de temps et de temps dehors. Le délai d'attente pour la génération de rapport d'activité utilisateur a été étendu afin que les rapports demandés s'exécutent jusqu'à ce que toutes les données soient complètement rassemblées. |
| 59276 | Les rapports botnet ne sont pas générés lors de l'utilisation de la base de données BrightCloud. |
| 59256 | L'exécution d'une importation SCP du fichier logdb a échoué avec l'erreur: échec de la vérification de l'importation de logdb. |
| 59180 | L'installation d'une session entre un client et un serveur n'a pas été effectuée dans un environnement actif/actif ha lorsqu'il est configuré avec multi-VSYS et multi-VR. Le client d'un système virtuel n'a pas pu atteindre le serveur situé sur un deuxième système virtuel, car la session dans le deuxième système virtuel n'a pas été configuré correctement. |
| 59126 | Dans une installation active/passive ha, les voisins OSPF et BGP sont descendus sur un périphérique actif après le redémarrage inattendu du périphérique passif. |
| 59031 | Lorsque les utilisateurs admin essayé de se connecter à la CLI sans se connecter précédemment dans l'interface Web et il y avait un profil d'authentification RADIUS configuré, le pare-feu a envoyé une demande au serveur RADIUS avec un mot de passe non valide qui était différent de celui soumis par l'utilisateur. Les utilisateurs valides n'ont donc pas pu s'authentifier auprès du serveur RADIUS. |
| 58971 | La sortie CLI pour la commande Show Routing Protocol BGP Loc-RIB-Detail a affiché le champ communautaire incorrectement lorsque certaines combinaisons de préfixes sont apparues dans les adresses IP des voisins BGP. |
| 58736 | Les notifications par courriel Wildfire ne contenaient pas d'en-tête de date. |
| 58586 | Correction de l'impossibilité de se connecter à l'interface Web panorama. Ce problème s'est produit parce que la partition racine sur un appareil M-100 était à 100% d'utilisation en raison d'anciens rapports étant incorrectement stockées dans le répertoire tmp. |
| 58421 | Après une mise à niveau de 4.1.11 vers 5.0.5, certains pare-feu ont rarement connu des redémarrages inopinés. |
| 58268 | Le trafic a parfois été bloqué pendant le décryptage SSL lorsque l'option utiliser OCSP pour vérifier l'état du certificat a été activée. |
| 58215 | La sortie de la zone de commande CLI Show Routing Protocol OSPF a été mise à jour pour fournir une plus grande clarté pour les valeurs définies. |
| 58212 | Les nouveaux systèmes virtuels n'ont pas pu être ajoutés après l'application d'une licence Virtual Systems. Les nouveaux systèmes virtuels ne peuvent être ajoutés qu'après le redémarrage du serveur d'administration. |
| 57997 | Dans une installation active/active ha, l'état de l'agent ID utilisateur a été affiché comme étant connecté sur le périphérique actif-secondaire. Ce problème a été abordé et le périphérique actif-secondaire affiche uniquement un état de l'agent d'ID utilisateur déconnecté car seul le périphérique principal actif se connecte aux serveurs d'ID utilisateur. |
| 57660 | Les ports de gestion du pare-feu de la série PA-2000 n'ont pas été raccordés directement à l'aide d'un câble droit ou croisé. |
| 57601 | Correction d'un problème dans lequel les journaux de filtrage des données montraient des noms de fichiers incorrects lorsque le modèle de données était comparé aux fichiers. |
| 57261 | Une session refusée a été journalisée avec l'action affichée comme Allow. Cela s'est produit lorsque l'application refusée était sur le port 80 et a déclenché la redirection captive Portal. |
| 56905 | Lorsqu'un pare-feu de la série PA-5000 a reçu plus de 3000 préfixes BGP, l'interface Web a montré une erreur (commande op pour le client routé timed out) lors de l'affichage de la côte locale pour BGP et lorsque la commande Show Routing Protocol BGP Loc-RIB-détail a été publié, le CLI renvoyé l'erreur du serveur d'erreur: commande op pour le client routé expiré. |
| 55318 | Le message d'avertissement de validation suivant est maintenant inclus lorsque des caractères génériques imbriqués sont utilisés dans une configuration de filtrage d'URL: AVERTISSEMENT: le caractère générique imbriqué (*) dans les URL peut gravement affecter les performances. Il est recommandé d’utiliser un caractère générique unique pour couvrir plusieurs jetons ou un caret(^) pour cibler un jeton unique. |
| 50932 | Dans une installation active/passive ha, le terme SEED a été supprimé de la graine de synchronisation Pan-DB avec le message ha car le cache MP est celui qui est synchronisé plutôt que SEED et fixe un problème où le cache MP synchronisé n'est pas chargé sur le périphérique passif. |
| 47642 | A abordé l'incapacité d'écrire des logs sur le disque. Ce problème s'est produit parce que la configuration sur le collecteur managé et le groupe de collecteur a été configuré avant que le collecteur managé ait jamais établi une connexion à Panorama. Avec ce correctif, panorama vous permet de configurer le groupe de collecteur uniquement après que le collecteur managé a connecté au moins une fois; Panorama peut vérifier la disponibilité du (des) disque (s) et sa taille. Cela garantit que le fichier Ring est correctement calculé et que les journaux sont écrits correctement sur le disque. |
| 41347 | Les filtres de capture de paquets ne filtraient pas les informations avec exactitude. Le correctif s’assure que les filtres de pcap correspondent aux critères définis sur le périphérique et saisir avec précision tous les cadres pertinents dans la session. |
propriétaire : panagent