Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Kritische Probleme, die in Releases behandelt PAN-OS werden - Knowledge Base - Palo Alto Networks

Kritische Probleme, die in Releases behandelt PAN-OS werden

611042
Created On 09/26/18 21:07 PM - Last Modified 08/11/24 16:46 PM


Symptom


Historische kritische Problemliste in Veröffentlichungen adressiert PAN-OS

Environment


Alle aktuellen PAN-OS

Resolution


Zuletzt aktualisiert am: Juli 27th , 2021


Diese Liste beschränkt sich auf kritische schwere Fragen wie von Palo Alto Networks bestimmt und ist nur zu Informationszwecken bereitgestellt.

  • Bitte überprüfen Sie die Informationen in den Versionshinweisen, um die neuesten Informationen zu festen Versionen anzuzeigen.
  • Bitte erstellt eine Anfrage mit Ihren Supportanbieter für eine detaillierte Untersuchung, wenn Sie das Gefühl, dass Sie eines der folgenden Probleme aufgetreten sind.
  • Wartungsversionen sind der primäre Mechanismus, um Probleme zu beheben.
  • A Maintenance Release wird durch die dritte Ziffer in der Release-Versionsnummer gekennzeichnet (z.B. die .2 in PAN-OS 10.0.2 ).
  • asterisk(*) in Fixed release wird für die interne Prüfung verwendet. bitte ignorieren Sie es.

 

Fehler

Betroffene Plattform (falls überhaupt)

/Affected Version

Beschreibung (Release Note)Auswirkungen

Ursache

Problemumgehung

Fixe Version

PAN-16380010.1.0Es wurde ein zeitweiliges Problem behoben, bei dem das Vorhandensein eines Anti-Spyware-Profils in einer policy Sicherheitsregel, die dem DNS Datenverkehr entsprach, dazu führte, dass DNS Reaktionen während der Übertragung fehlerhaft waren.DNS-Antwort ist beschädigtCode der Lizenzprüfung und TTL -änderung hatte einen Fehler bei der Beantwortung DNSEntfernen von Anti-Spyware, die ein Profil enthält dns security10.1.1*
PAN-1462509.0.0-9.0.13
9.1.0-9.1.9
Es wurde ein Problem behoben, bei dem in zwei separaten, aber gleichzeitigen Sitzungen derselbe Softwarepaketpuffer besessen und verarbeitet wurde.DP CrashFür das Inter-vsys-Szenario könnte derselbe SW-Paketpuffer in zwei verschiedenen Sitzungen gleichzeitig verarbeitet werden, was wiederum das Problem verursacht.Verwenden Sie IPsec VPN anstelle von SSL9.0.14,9.1.10*
PAN-1560179.1.0-9.1.6, 10.0.0-10.0.2Es wurde ein Problem behoben, bei dem ein Hostinformationsprofil ( HIP ) XML Ein Berichtspuffer ein Speicherleck verursachteNicht genügend Arbeitsspeicher in MPHIP Der Berichtspuffer wurde nicht freigegeben, nachdem eine Nachricht gesendet wurde, was zu einem Speicherverlust führteUmverteilung deaktivieren hip9.1.7,10.0.3
PAN-156225

PA-3200series
/
8.1.0-8.1.18, 9.1.0-9.1.8 ,10.0.0-10.0.4

Es wurde ein Problem behoben, bei dem der HA1-Port B auf Serien nach dem Upgrade von PA-3200 9.1.4 auf 9.1.5 unten blieb.HA1-Link B nach untenFehler beim Abrufen eines zugehörigen SysD-Knotensnichts8.1.19,9.1.9,10.0.5*
PAN-1363478.1.0-8.1.18, 9.1.0-9.1.8 , 10.0.0-10.0.4Es wurde ein Problem behoben, bei dem DNS TCP Proxyverbindungen falsch verarbeitet wurden, wodurch ein Prozess ("dnsproxy") nicht mehr reagierte.dnspropyd Absturz / hoch CPUtcp_wait_timer auf dem Daemon wurde nicht richtig gelöschtProblemumgehung besteht darin, die TCP Verbindung über DNSproxy-Daemon zu deaktivieren, um Probleme mit Proxy-Anforderungen zu TCP vermeiden.8.1.19, 9.1.9,10.0.5,*
PAN-1508528.1.0-8.1.18 ,9.0.0-9.0.12 ,9.1.0-9.1.6 ,10.0.0-10.0.4Es wurde ein Problem behoben, bei dem die SMTP Dateinamen der Anlage länger als der zugewiesene Puffer waren. Wenn der Dateiname länger als der Puffer war und Layer 7-Prüfung aktiviert war, wurde die Datei gelöscht, was dazu führte, dass Sitzungsfehler und eine E-Mail nicht gesendet wurden.DP Absturz / SMTP PaketabwurfProblem bei der Pufferbehandlung bei der Verarbeitung des SMTP Mult-Part-Dateinamensnichts8.1.19
9.0.13
9.1.7
10.0.5
PAN-1434858.1.0-8.1.18, 9.0.0-9.0.12 , 9.1.0-9.1.6, 10.0.0-10.0.4Es wurde ein Speicherverlust im Zusammenhang mit einem Prozess behoben (*devsrvr*).Speicherverlust des Geräteserversmehrere Lecks URL (,confg,etc)werden behobenNeustart von devsrvr, bevor der Gerätespeicher erschöpft ist9.0.13,9.1.8,10.0.0
PAN-1568919.1.0-9.1.7
10.0.0-10.0.4
Es wurde ein Problem behoben, bei dem einige ZIP-Dateien nicht heruntergeladen wurden, und die folgende Fehlermeldung wurde angezeigt: 'Ressourcen nicht verfügbar'.L7-Funktion funktioniert nicht, wenn der Fehler "Ressourcennichtverfügbar" trifftDer Decoderpuffer würde eine hohe Anzahl von Schleifen in der L7-Verarbeitung durchlaufen. Es erreicht die maximale Grenze.

"Set deviceconfig setting session resource-limit-behavior bypass" hilft, Sitzungen zu umgehen, die den Fehler beheben.

Technisch ist das in der Regel der Fall. aber "Strip ALPN " im Entschlüsselungsprofil kann das Problem beheben, wenn es durch die Dekodierung von http2 verursacht wird.

"Deaktivierung von hardware dfa" kann eine Problemumgehung sein, da es hilft, die Anzahl der Schleifen zu reduzieren. Dies kann mit den folgenden Befehlen erfolgen:

debug dataplane fpga set sw_aho yes
debug dataplane fpga set sw_dfa yes
9.1.8
10.0.5
PAN-145417

9.0.0-9.0.12
9.1.0-9.1.7
10.0.0-10.0.3

Debugbefehle wurden hinzugefügt, um ein Problem zu beheben, bei dem die firewall Verbindung mit Data Lake aufgrund der Meldung Online Certificate Status Protocol ( ) fehlt der Wert Cortex OCSP "nextUpdate" in der OCSP Antwort.sslmgr Speicherleck verursachte ein Problem auf OCSPFehlgeschlagene OCSP Abfragen werden für lange Zeit zwischengespeichert. Es wirkt sich auf das normale Verhalten von sslmgr und seine Speichernutzung steigtsslmgr-Prozess neu starten9.0.13,9.1.8,10.0.4
PAN-1492979.1.0-9.1.6
10.0.0-10.0.1
Es wurde ein Pufferüberlaufproblem auf dem Verwaltungsserver behoben, das den Administrator dazu zwang, sich auf der Weboberfläche abzumelden.ManagementserverabsturzFehlende Close-Aufrufe für eine interne DBsVermeiden Sie mehrere Validierungs-Commits, commitAlls9.1.7,10.0.2
PAN-153673

Technisch kann alle FW Plattform betroffen sein. aber wir erhalten nur Berichte von PA5200,PA7000serie
8.1.15-8.1.17
9.0.9-9.0.10
9.1.1-9.1.5
10.0.0-10.0.1

Es wurde ein Problem behoben, bei dem Datenverkehrsprotokolle aufgrund eines Threadtimeouts, das das Lesen der Protokolle von der Datenebene verlangsamte, nicht angezeigt wurden.Protokollierung wird zeitweise beendetDer Hauptthread war damit beschäftigt, Cache-Alter zu tun, was dazu führt, dass das Lesen der Protokolle aus dem Link aus dem DP verlangsamt stark verlangsamt.nichts8.1.18, 9.0.11, 9.1.6, 10.0.2
PAN-1521068.1.14-8.1.16
9.0.8-9.0.10
9.1.0-9.1.5
10.0.0-10.0.1
Es wurde ein Problem behoben, bei dem ein Prozess (*genindex.sh*) dazu führte, dass die Nutzung der Verwaltungsebene CPU über einen längeren Zeitraum als erwartet hoch blieb.Hohe MP CPUDas Skript sucht Log-Verzeichnisse intensivKonfigurieren Sie Max. Tage für die Protokolltypen, um Aufbewahrungstage zu reduzieren, um die Anzahl der protokollierbaren Protokolle zu reduzieren.8.1.17, 9.0.11, 9.1.6,10.0.2
PAN-154181Panorama
8.1.16
 
Es wurde ein Problem behoben, bei dem der Panorama Kontextwechsel zur Weboberfläche eines firewall verwalteten PAN-OS 8.1.16 nicht funktionierte.Kontextwechsel ist nicht möglichA Fehlerbehebung verhinderte, dass der Kontextwechsel funktioniertenichts8.1.17
PAN-1511979.1.3
10.0.0
Es wurde ein Problem behoben, bei dem ein Prozess (*authd*) neu gestartet wurde, als sich ein Administrator beim Active Directory - ) -Konto authentifizierte. firewall AD Dieses Problem trat auf, als LDAP mit konfiguriert FQDN DHCP wurde, anstelle einer statischen Verwaltungsadresse verwendet IP wurde, und die Verwaltungsschnittstelle zum Herstellen einer Verbindung mit dem Server verwendet LDAP wurde.Authd-AbsturzDer Grenzfall, der DHCP mgmt zugewiesen wurde IPServiceroute für LDAP9.0.10, 9.1.4, 10.0.1
PAN-1412219.0.0-9.0.9
9.1.0-9.1.2
Es wurde ein Problem behoben, bei dem ein Commit- oder Inhaltsaktualisierungsvorgang mit einem Fehler nicht daran gehindert wurde, in der Datenebene ausgeführt zu werden, was zu einer Beschädigung im policy Datenebenencache führte.DP Crash- Wenn DP Phase1-Analysefehler beim Config-Commit auftritt, wurde das Abbruchsignal nicht ordnungsgemäß bereinigen, so dass der policy Cache beschädigt ist
Stellen Sie sicher, dass die Konfiguration nicht in DP
9.0.10, 9.1.3
PAN-1445988.1.0-8.1.15
9.0.0-9.0.9
9.1.0-9.1.2
Es wurde ein Problem behoben, bei dem der freie Speicher der Datenebene aufgebraucht war, was sich auf neue GlobalProtect Verbindungen zum firewallGP VerbindungsfehlerDie URL Datenstruktur wird während des clientlosen Zugriffs nicht VPN app frei.Nein8.1.16, 9.0.10, 9.1.3
PAN-1501728.1.15,9.0.9,9.1.3Es wurde ein Problem behoben, bei dem Datenebenenprozesse neu gestartet wurden, wenn versucht wurde, auf Websites zuzugreifen, auf denen das Attribut "NotBefore" kleiner oder gleich Unix Epoch Time im Serverzertifikat mit aktiviertem Vorwärtsproxy war.DP Neustart beim Analysieren des ZertifikatsDer Wert "NotBefore" wurde nicht ordnungsgemäß initialisiert.1) Importieren Sie den Aussteller des Servers CA in die und markieren Sie sie als firewall vertrauenswürdig, 2) Deaktivieren Sie die OR
Entschlüsselung auf diese Server mit NotBefore <= 1970/1/1 00:00:00 UTC
Dies ist keine praktische Lösung
8.1.15-h3, 8.1.16, 9.0.9-h1, 9.0.10, 9.1.3-h1, 9.1.4,
PAN-1373878.1.0-8.1.14
9.0.0-9.0.8
9.1.0-9.1.2
Es wurde ein Problem behoben, bei dem URL beim Filtern die Adresse anstelle des Hostnamens verwendet wurde, was zu einer falschen IP URL Kategorisierung führte.Problem bei der Hostheaderbehandlung verursacht URL FilterfunktionFehlbehandlung, wenn der Host-Header nicht im 1. Paket enthalten istAktivieren Sie Jumboframe, oder verwenden Sie benutzerdefinierte URL-Kategorie oder benutzerdefinierte-appid, um Zeichenfolge "/webapp/wcs/stores/" zu erkennen.8.1.15, 9.0.9, 9.1.3
PAN-1480688.1.0-8.1.14
9.0.0-9.0.8
9.1.0-9.1.2
Es wurde ein Problem behoben, bei dem SSL Verbindungen blockiert wurden, wenn Sie die Entschlüsselung mit der Option zum Blockieren von Sitzungen mit abgelaufenen Zertifikaten aktiviert haben. Dieses Problem umfasste Server, die eine abgelaufene AddTrust-Zertifikatsautorität ( ) in der Zertifikatkette gesendet CA haben.SSL Entschlüsselung schlägt an einer Website fehlfestes SSL ZertifizierungsüberprüfungsverfahrenDeaktivieren Sie die Zertifikatablaufprüfung.
(wenn keine Ablaufprüfung akzeptabel ist)
8.1.15, 9.0.9, 9.1.3
PAN-103290PA3200serie
8.1.14 nur
Es wurde ein Problem behoben, durch das die firewall Aufzeichnung von Datenebenendiagnosedaten in dp-monitor nach einigen Stunden Betriebszeit behoben wurde.log.DP CrashTag-eins-Problemabsturz bei der ÜbergabeKeine Umgehung8.1.15
PAN-139587PA5200,PA7000Serie
8.1.0-8.1.14
9.0.0-9.0.8
9.1.0-9.1.4
Es wurde ein Problem behoben, bei dem eine hohe und kontinuierliche CPU Auslastung auf Datenebenen beobachtet wurde, nachdem IPSec Encapsulating Security Payload ( ) für mehrere Tunnel erneut codiert ESP wurde.High CPU / High Packet DeskriptorESP Rekey-ProblemStarten Sie nach dem Failover den Fehler FW8.1.15, 9.0.9 , 9.1.4
PAN-1444798.1.14 nurEs wurde ein Problem behoben, bei SNMP dem Objekte aus den HOST-RESOURCES-MIB zurückgegebenen falschen Werten beim Abgefragt wurden.snmp für das Spezifische MIB funktioniert nichtRegression eines Snmp-FixesKeine Umgehung8.1.15
PAN-136701PA7000Serie
9.0.0-9.0.7
9.1.0-9.1.1
Die folgenden CLI Befehle wurden hinzugefügt, um ein Problem zu beheben, bei dem Pakete für neue Sitzungen bei der Verarbeitung von Vorhersagesitzungen verworfen wurden:
- 'Sitzung s/h beenden, ja'
- 'Sitzungs-hwpredict-Status anzeigen'
Paketabwurf bei VorhersagesitzungsabgleichHinzugefügter Problemumgehungsbefehl, um die Vorhersagesuche in zu deaktivieren FPP-HW und FPP-SW zu verwenden. Dies wird mit einem Betriebsbefehl gesteuert.9.0.8, 9.1.2
PAN-121626

PA3200Serie
8.1.0-8.1.13
9.0.0-9.0.6
9.1.0-9.1.1

Es wurde ein intermittierendes Problem behoben, bei dem Firewalls Pakete löschten, was probleme verursachte, wie z. B. Datenverkehrslatenz, langsame Dateiübertragungen, reduzierten Durchsatz, interne Pfadüberwachungsfehler und Anwendungsfehler.VerkehrsproblemProblem beim SpeichertimingKeine Umgehung8.1.14,9.0.7,9.1.2
PAN-125534PA5200,PA7000Serie
8.1.0-8.1.13
9.0.0-9.0.7

 
Es wurde ein Problem behoben, bei dem Firewalls während der Uploads in die Cloud oder Appliance eine hohe Paketdeskriptor-Nutzung (on-chip) WildFire WF-500 auftraten.Übermäßige WF Uploads verursachten hohe PaketbeschreibungÜbermäßige WF Uploads überpressen Plattformressourcen.

Maximale Anzahl ausstehender WF Uploads begrenzen

Konfigurieren Sie Device > Setup > WildFire > Allgemeinen Einstellungen > Dateigrößenbeschränkungen, um die folgenden
empfohlenen Werte für WildFire Dateigrößenbeschränkungen anzugeben:

- pe 8 MB
- apk 10 MB
- pdf 500 - KB
ms-office 500 KB
- jar 5 - flash 5 - MB
MB
MacOSX 1 MB
- Archiv 10 MB
- linux 10 - skript MB
20 KB

8.1.14,9.0.8,9.1.2
PAN-135260PA7000serie nur
8.1.12 nur
Es wurde ein intermittierendes Problem behoben, bei dem der Datenebenenprozess (*all_pktproc_X*) auf einer Netzwerkverarbeitungskarte ( ) bei der Verarbeitung des NPC IPSec-Tunnelverkehrs neu gestartet wurde.DP CrashAbsturz bei Flow-Suche
Hinzugefügt einen Validierungscode
Keine Umgehung8.1.13,9.0.7,9.1.2
PAN-1368208.1.0-8.1.13Es wurde ein Problem behoben, bei dem ein Failover mit hoher Verfügbarkeit ( HA ) aufgetreten ist, nachdem firewall die folgende Fehlermeldung im **System**-Protokoll gemeldet wurde: 'Dataplane down: controlplane exit failure'.DP Absturz / Unten
Interner Pfadmonitor schlägt fehl
NFS Übertragungsproblem bei DP
Tweaking-Optionen NFS
Keine Umgehung8.1.14,9.0.0
PAN-102096PA7000Serie
8.1.0-8.1.12
Es wurde ein Problem behoben, bei dem der erste Paketprozessorpaketpuffer nicht mit der richtigen Ausrichtung zugewiesen wurde, was zu Einer Speicherbeschädigung führte.Interner Pfadmonitorfehler , FPP AbsturzMögliche Speicherbeschädigung auf FPPKeine Umgehung8.1.13
PAN-133440PA5200,PA7000Serie
8.1.8-8.1.12
9.0,9.1
Es wurde ein Problem behoben, bei dem fragmentierter Datenverkehr zu hohen Datenebenennutzungs- und firewall Leistungsproblemen führte.hoher CPU / hoher PaketpufferFragment-Wiederzusammenbau-ProblemErwägen Sie das Blockieren von Fragmenten über den Zonenschutz.8.1.13,9.0.7,9.1.2
PAN-131993Panorama Baureihe
8.1.11-8.1.12
9.0,9.1
Es wurde ein Problem behoben, bei dem ein Prozess (*gemeldet*) beim Ausführen einer Protokollabfrage abstürzte.gemeldeter AbsturzDoublefree beim Bereinigen bei der Verarbeitung einer ProtokollabfrageZulassen, dass die Abfrage bis zum Abschluss ausgeführt wird, bevor Sie die Registerkarte/den Browser schließen8.1.13,9.0.7,9.1.2
PAN-115875LFC(PA7000)
9.0.0-9.0.5
Es wurde ein Problem behoben, bei dem ein PA- 7080b-Paar HA neu gestartet wurde, als der Paketverkehr mit großer Größe die Frontpanel-Ports der Log Forwarding Card ( beeinträchtigte. LFCLFC Neu startenLFC Fehler bei der Behandlung von Frontport-Fehlern beim Empfang von JumboframesVermeiden Sie die Verbindung der Front Panel-Ports mit Netzwerken mit Jumbo-Frames9.0.6 und 9.1.0
PAN-1236679.0.0-9.0.5Es wurde ein Problem behoben, bei dem der "snmpd"-Prozess beim Abrufen globaler Leistungsindikatoren abstürzte.snmpd Absturz und OOM (nicht im Speicher) im KernelSpeicherleck von snmpd beim Zugriff auf globale Zähler-OIDsUm diesen Absturz zu vermeiden, wird vermieden, dass OIDs in der globalen Leistungsindikatortabelle angezeigt werden.9.0.6 und 9.1.0
PAN-123322PA3200,PA5200,PA7000Serie
8.1.0-8.1.11
9.0.0-9.0.5
" PA-3200 PA-5200 Serien-, Serien- und PA-7000 Serienfirewalls, die " PAN-OS <8.1.11 |="" 9.0.5="">nur" ausführen) Es gibt ein intermittierendes Problem, bei dem ein Prozess ("all_pktproc") aufgrund einer Beschädigung eines Arbeitsabfrageeintrags ( ) nicht mehr reagiert, WQE die durch doppelte untergeordnete Sitzungen verursacht wird.</8.1.11>Absturz der DatenebeneAbsturz bei Übergabe des Pakets in Vorhersagesitzungnichts8.1.12,9.0.6 und 9.1.0
PAN-128269PA5200Serie nur
8.1.10-8.1.11
9.0.0-9.0.5
" PA-5250 PA-5260 , und PA-5280 Firewalls mit nur 100GB AOC Kabeln") Wenn Sie den ersten Peer in einer Hochverfügbarkeitskonfiguration ( HA ) auf "[ PAN-OS 8.1.9-h4 oder ein neueres] / [a PAN-OS 9.0]" Release aktualisieren, kommt der High Speed Chassis Interconnect ( HSCI ) Port erst nach dem Beenden des Upgrades des zweiten Peers auf. FECHSCI Schnittstelle nach untenInterne Chipkonfiguration AOC betroffenes ModulKonsultieren Sie Techsupport für Upgrade-Verfahren, sonst vermeiden Sie die Veröffentlichungen8.1.12,9.0.6 und 9.1.0
PAN-1244819.0.0-9.0.4Es wurde ein Problem behoben, bei dem die Datenebene nicht mehr reagierte, wenn SMTP Sitzungen verwendet wurden.DP Absturz/ Interner Pfadmonitor-FehlerMIME Grenze wird irrtümlich berechnetapp-überschreiben Sie das SMTP9.0.5
PAN-126547

8.1.0-8.1.10
9.0.0-9.0.4

Es wurde ein Problem behoben, bei dem ein Prozess ("configd") nicht mehr reagierte, als ein XML API Aufruf mit "type=config&action=get" während eines Commits ausgelöst wurde.configd CrashNull wurde nicht auf einen Zeiger festgelegt, wenn der XML-Knoten freigegeben wird.Führen Sie xml api nicht aus, um vordefinierten xpath abzubekommen8.1.11 und 9.0.5
PAN-120662

PA-7000 nur Serie XM (Karten sind nicht betroffen)
8.1.0-8.1.10
9.0.0-9.0.4

["PA-7000 Serie Firewalls mit PA-7000 -20G-Karten NPC nur"] Es wurde ein intermittierendes Problem behoben, bei dem eine Nicht-Speicherbedingung ( OOM ) dazu führte, dass die Datenebene oder die interne Pfadüberwachung nicht mehr reagierte.DP Absturz/ Interner Pfadmonitor-Fehler
Nicht genügend Speicher wurde dem Linux-Kernel zugewiesen
Keine Umgehung8.1.11 und 9.0.4
PAN-119862PA5050 nur
8.1.0-8.1.11
Es wurde ein intermittierendes Problem behoben, bei dem eine OOM Nicht-Speicherbedingung ( ) dazu führte, dass die Datenebene oder die interne Pfadüberwachung nicht mehr reagierte. Mit diesem Update wird die Sitzungskapazität um 400.000 reduziert.DP Absturz/ Interner Pfadmonitor-FehlerNicht-Speicher auf DP0Keine Umgehung8.1.11
PAN-1156958.0.x
8.1.0-8.1.9
9.0.0-9.0.3
Ein intermittierendes Problem wurde behoben, bei dem eine große Anzahl von Paketen empfangen wurde, bevor Bestätigungen abgeschlossen wurden, wodurch deskriptor-Warteschlangeneinträge erschöpft wurden und eine hohe Latenz bei Datenübertragungen resultierte, obwohl die CPU Verwendung normal aussah.Hoher Paketdeskriptor und PaketpufferDaher können eine oder mehrere aggressive TCP Sitzungen alle Deskriptorwarteschlangeneinträge aufgrund von Ack-Paketen übernehmen.Klare Sitzung, die das Problem verursacht8.1.10 und 9.0.4
PAN-1166138.0.x
8.1.0-8.1.8
9.0.0-9.0.3
Es wurde ein Problem bei einer VM- firewall seriein Microsoft Azure behoben, bei der Pakete aufgrund eines Kernelfehlers stillschweigend gelöscht wurden.Verkehrsabfall bei geplatzten VerkehrEin Kernelfehler bei der Verarbeitung von Busdatenverkehr in AzureKeine Umgehung8.1.9 und 9.0.4
PAN-1201948.1.5-8.1.9
9.0.0-9.0.3
("Virtuelle und M- Seriengeräte Panorama und nur Log Collectors") Es wurde ein Problem behoben, bei dem geschlossene Elasticsearch- ( ES )-Indizes weiterhin Protokolle empfangen und erneut in die Warteschlange einreihen, was zu einer hohen CPU Auslastung führte.Protokollaufnahmefehler und hohe CPUMonatsindex unerwartet geschlossenKontakt Techsupport8.1.10 und 9.0.4
PAN-1184078.1.0-8.1.8
9.0.0-9.0.3
Es wurde ein Problem behoben, bei dem ein interner Pfadüberwachungsfehler aufgrund eines Pufferlecks zum Neustart führte. firewallDP Neustart aufgrund eines internen PaketpfadüberwachungsfehlersDurcheinander des PufferpoolsKeine Umgehung8.1.9 und 9.0.4
PAN-1177208.1.0-8.1.9
9.0.0-9.0.3
("GlobalProtect Nur clientlose VPN Umgebungen") Es wurde ein Problem behoben, bei dem ein Prozess ("all_pktproc") nicht mehr reagierte und dazu führte, dass der Prozess bei der firewall Verarbeitung des clientlosen Datenverkehrs unerwartet neu gestartet GlobalProtect VPN wurde. Um dieses Update zu nutzen, müssen Sie zuerst ein Upgrade ("Devices>Dynamic Updates") auf GlobalProtect Clientless VPN Content Release 79 oder eine neuere Version durchführen.DP CrashAusnahme bei der Verarbeitung von clientlosem VPN Paket mit großem PaketClientlessVPN auf GP ( ) ändern oder auf SSLVPN
8.1.8 oder älter herabstufen
8.1.10 und 9.0.4
PAN-1139718.1.0-8.1.8
9.0.0-9.0.3
("PA-7000 Serie nur") Es wurde ein Problem behoben, durch das der High Speed Chasis Interconnect ( HSCI ) Link nach dem Neustart der überschlug. firewallHSCI KlappeSignalfehler auf SMC 8.1.9 und 9.0.4
PAN-1117088.1.0-8.1.8
9.0.0-9.0.2
("PA-3200 Nur Firewalls der Serie") Ein seltenes Softwareproblem wurde behoben, durch das die Datenebene unerwartet neu gestartet wurde. Um dieses Update zu nutzen, müssen Sie den Befehl "debug dataplane set pow no-desched yes" ausführen (erhöht die CLI CPU Auslastung).DP CrashDezeitplan-Problem bei CPU Verwendung in PA3200Keine Umgehung8.1.9 und 9.0.3
PAN-1177298.1.8 nurEs wurde ein Problem behoben, bei dem die firewall falsch angezeigten Anwendungsabhängigkeitswarnungen
("Richtlinien > Sicherheit") nach dem Initiiert eines Commits behoben wurden.
Anwendungsabhängigkeit wird beim Commit angezeigtaufgrund unvollständiger Korrektur von PAN-98386Keine Umgehung8.1.9
PAN-107005PA3200 Serie nur
8.1.0-8.1.4
9.0.0-9.0.2
Es wurde ein Problem bei Firewalls der Serie behoben, PA-3200 bei dem Pakete fielen, als ein VSS- Überwachungs-Ethernet-Trailer von einem externen Gerät angehängt wurde.L4checksum schlägt bei der Überwachung des Anhängers fehl VSS und das Paket fälltNetzwerk-Abladeprozessor löscht das Paket aufgrund seiner L4-ÜberprüfungsüberprüfungKeine Problemumgehung. Upgrade PANOS8.1.5 und 9.0.3
PAN-1128148.1.6-8.1.7 und
9.0.0-9.0.1
Es wurde ein Problem behoben, durch das H .323-basierte Aufrufe Audio verloren, weil die vorhergesagte H .245-Sitzung nicht in den Status Aktiv konvertiert wurde, wodurch firewall der H .245-Datenverkehr gelöscht wurde.Vorhersage eines SitzungsfehlersVorhersagesitzung kann nicht erstellt werden, wenn die Vorhersagesitzung durch S2C-Flow erstellt wird und ihre Quelle NATedVerwenden Sie keine Quelle NAT8.1.8 und 9.0.2
PAN-1030238.0.14-8.1.15
8.1.2-8.1.6
Es wurde ein intermittierendes Problem behoben, bei dem eine Inhaltsinstallation (Inhalt) einen Konfigurationsfehler verursachte firewall und nicht mehr firewall reagierte.FQDN Objekte werden als 0.0.0.0 aufgelöst. und auf DP . geschoben, die Verkehrsproblem verursachtContent-Installationsauftrag beinhaltet irrtümlich falsche KonfigurationErzwingen Oder erzwingen Sie eine weitere FQDN Aktualisierung.8.0.16 ,8.1.7 und 9.0.0
PAN-108241PA-3200 Serie/ 8.1.0-8.1.5Es wurde ein Problem in einer Serie behoben, PA-3200 firewall bei dem mehrere Datenebenenprozesse (all_pktproc, flow_mgmt, flow_ctrl und pktlog_forwarding) nicht mehr reagierten, wenn sie mit Datenverkehr überlastet waren.DP CrashFlow Ager Prozess doppelt freiAktivieren sie Software aho/dfa und pscan kann die Wahrscheinlichkeit von Auftreten von Problem erheblich reduzieren.8.1.6 und 9.0.0
PAN-1095948.0.14, 8.1.5 nurEs wurde ein Problem behoben, bei dem die Datenebene neu gestartet wurde, als ein IPSec-Rekey-Ereignis auftrat, und einen Tunnelprozessfehler (Tund) verursachte, wenn ein --, aber nicht beide-- HA Peer PAN-OS 8.0.14 oder PAN-OS 8.1.5 ausgeführt wurde.DP Neustart aufgrund eines Tundabsturzes während der Versionsübereinstimmung in HA Peers während des UpgradevorgangsDP Neustart aufgrund eines Tundabsturzes, der durch ike rekey im Paar verursacht wird HAPassen Sie vor dem Upgrade HA von Peers die Lebensdauer vorübergehend auf länger als den Standardwert an, IKE um sicherzustellen, dass ein Rekey-Ereignis während des Aktualisierungsvorgangs nicht auftritt. Kann auch zwischen Peers brechen HA und einzeln als Standalone aktualisieren.8.0.15, 8.1.6
PAN-108785PA3200 Serie/ 8.1.0-8.1.5Es wurde ein intermittierendes Problem bei einer firewall HA aktiv/passiven Konfiguration behoben, bei der ein Ping-Test auf Ethernet 1/1, 1/2 und 1/4 aufgrund von Eingabefehlern am entsprechenden Switch-Port nach einem Failover nicht mehr HA reagierte.eth1/1,2,4 beschädigt Paket bei Übertragung nach HA FailoverSchnittstelleninitialisierungsschritte nach HA Failover als unnötige Anweisungen bezeichnetmanuell schließen/kein Schließen der Schnittstellen8.1.6 und 9.0.0
PAN-1077918.1.4Es wurde ein Problem behoben, bei dem nach dem Upgrade von PAN-OS 8.1.3 auf 8.1.4 die CLI Zwei-Faktor-Administratorauthentifizierung fehlstrich.2FA schlägt fehlSocket-Handling-Fehler für 2FAKeine8.1.5 und 9.0.0
PAN-1073658.1.4Es wurde ein Problem bei Serien- und virtuellen Appliances behoben, bei dem das Gerät nach einer Änderung an einer Vorlage und dem Versuch, auf Panorama M- ein Zielgerät zu übertragen, nicht in der Liste Push Scope Selection angezeigt wird ("Push > Push to Devices > Bearbeiten von Auswahlen > Gerätegruppen").Gerät in Vorlage nicht angegebenAusnahme im PHP-CodeKeine8.1.5
PAN-1072718.1.4Es wurde ein Problem bei einer PA-3200 Serie firewall mit PAN-OS 8.1.4 in einer Konfiguration behoben, bei HA der der HA1-Port B (Backup) nicht wie erwartet aufkam.HA1B-Port ist unbrauchbarzusätzliche Fixierung von PAN-89402Verwenden Sie eine andere Schnittstelle für HA18.1.5
PAN-1002448.0.x,8.1.xEs wurde ein Problem behoben, bei dem eine fehlgeschlagene Commit- oder Commit-Überprüfung gefolgt von einem Nicht-Benutzer-Commit-Ereignis (z. B. einer FQDN Aktualisierung, einer externen dynamischen Listenaktualisierung oder einer Antivirusaktualisierung) zu einer unerwarteten Änderung der Konfiguration führte, die dazu führte, dass der firewall Datenverkehr herunterfiel.Verkehrsrückgang durch falsch policy angewendete.xml wurde geändert, was nicht passieren sollte, wenn commit fehlschlägt.Diese Konfiguration war an der nächsten / Update beteiligt FQDN EDLDas Problem FQDN wird bis zum nächsten Auftreten behoben.8.0.14,8.1.5
PAN-1006138.0.10-,8.1.2-8.1.4Es wurde ein Problem bei einer PA-5200 Serie firewall in einer aktiven/aktiven Konfiguration mit hoher Verfügbarkeit HA () mit einer virtuellen Draht-Subschnittstelle (vwire) behoben, bei der Sitzungseinrichtungspakete, die an Peerfirewalls gesendet wurden, als HA2/HA3-Rennbedingungen zurückgesendet wurden, was zu einer Zunahme von Paketdeskriptoren und Datenverkehr führte, die nicht mehr reagierten.Datenverkehr kann aufgrund einer hohen Paketdeskriptorin zeitweise beeinträchtigt werdenAufgrund der Race-Bedingung bei der Sitzungseinrichtung, Paketschleifen in HA2/HA3, die Packet Descriptor beeinflusstSitzungseinrichtung/Besitzersatz für First-Packet/First-Packet.Andernfalls verwenden Sie den Aktiv/Passiv-Modus8.1.5
PAN-1060168.0.x,8.1.xEs wurde ein Problem bei Serienfirewalls behoben, PA-800 bei dem eine Kernelspeicherspitze zum firewall Neustart führte.Unerwarteter SystemneustartFehlendes KernelspeicherKeine8.0.14,8.1.5
PAN-1069368.0.x,8.1.xBehoben und Problem, bei dem PA-800 Serienfirewalls aufgrund eines Kernelfehlers zeitweise neu gestartet wurden.Unerwarteter SystemneustartStarker Einsatz von Serienfahrer verursachte Watch Dog TimeoutKeine8.0.14,8.1.5
PAN-104116

8.1.3,8.0.12

Es wurde ein Problem behoben, bei dem ein hardware Paketpufferleck firewall zu leistungsablassenden Problemen führte.Hardware PuffererschöpfungIn seltenen Fällen wird der hardware Paketpuffer nicht freigegeben.Keine8.1.4,8.0.13

 

PAN-103921

PA-3200 Serie/

8.1.0-8.1.3

Es wurde ein Problem bei einer PA 3200-Serie behoben, firewall bei dem die Datenebene aufgrund eines internen Pfadüberwachungsfehlers fehlschlagen konnte.Interner PfadmonitorfehlerKommunikationsfehler in Verbindung zwischen MP und DPnichts8.1.4 und 9.0.0
PAN-103442

PA-3200 Serie/

8.1.0-8.1.3

Es wurde ein intermittierendes Problem in einer Serie behoben, PA-3200 firewall bei der die Weiterleitungsinformationsbasis ( FIB ) nicht korrekt aktualisiert wurde, was eine erfolgreiche Weiterleitung von ausgelagertem Datenverkehr verhinderte.Ein ausgelagerter Datenverkehr wird nicht korrekt weitergeleitet.FIB Eintrag in DP ist keine Aktualisierung ordnungsgemäß aufgrund von ProgrammierfehlerDeaktivieren der Sitzungsabladung8.1.4 und 9.0.0
PAN-98116

PA-3000 Serie /

8.1.0-8.1.2

Es wurde ein Problem behoben, bei dem die PA-3000 Serienfirewalls Dateideskriptoren in einem Datenebenenprozess ("pan_comm") während der Inhaltsinstallation (Apps und Bedrohung) sowie die Ausführung von FQDNRefresh-Auftrags, die dazu führten, dass das hardware Layer 7-Modul Anwendungen falsch identifizierte, übergeben.App- ID (L7-Prozess) nicht mehr zu arbeiten

 DP Absturz

Dateideskriptorleck in pan_comm Prozess, der für den Commit in DPKeine

8.1.3

 PAN-99212

8.0.10-8.0.11

, 8.1.0-8.1.2

Es wurde ein Problem behoben, durch das die firewall falsch ARP verworfenen Pakete und der "flow_arp_throttle"-Zähler erhöht wurden. ARP funktioniert nicht /Traffic StopARP Paketdrosselungsfunktion zählt fälschlicherweise die Anzahl der überprüften Arp-Pakete und löscht arp-Paketenichts 

8.0.12 und 8.1.3

 PAN-98397

 PA-3200 Serie/

8.1.0-8.1.2

Es wurde ein Problem bei Serienfirewalls behoben, PA-3200 bei dem der Offload-Prozessor keine Aktualisierungsmeldungen zum Löschen von Routen verarbeitete, die veraltete Routeneinträge hinterließen und dazu führten, dass Sitzungen während der Sitzungs-Offload-Phase nicht mehr reagierten.Paketabsturz aufgrund von Routingtabellenproblemen im Offload-ChipFIB in Offload-Chip (FE100) nach dem Löschen der Route nicht ordnungsgemäß aktualisiertDeaktivieren der Sitzungsabladung8.1.3
PAN-94912

PA-5200 Serie/

8.0.0-8.0.9

8.1.0-8.1.1

Es wurde ein Problem behoben, durch das PA-5200 Serien- und PA-3200 Serienfirewalls in einer aktiven/aktiven HA Hochverfügbarkeitskonfiguration ( ) Pakete in die falsche Richtung in einer virtuellen Drahtbereitstellung gesendet haben. 

MAC Schlagen geschieht auf Neighouring-Schalter.

Verkehrsstörungen können passieren

In ha Active-Active vwire Fall, wenn Gerät Pakete über ha3 Link weiterleitet. Die Headerinformationen sind in einigen Fällen korrekt festgelegt, was dazu führt, dass solche Pakete an den Peer zurückgesendet HA werden, anstatt lokal weiterzuleiten.In einem der Fälle (00810651) wurde das Problem durch das Deaktivieren der Sitzungsabladung behoben.8.0.10 und 8.1.2
PAN-90890

8.0.0-8.0.9

8.1.0

Es wurde ein Problem behoben, bei dem der ID Benutzer-Prozess ("useridd") nicht mehr reagierte, wenn ein virtuelles System, das mit mehr als einem ID Benutzer-Agenten verbunden war, mit NT LAN Aktiviertem Manager ( NTLM ) reagierte.

useridd Process Crash/

Useridd High File Descriptor/useridd

Instabilität

Gedächtnis Korruption des Verbindungs Zustandeskonfigurieren Sie nur einen User-id-Agent mit NTLM aktiviert in jedem vsys.

8.0.10 und 8.1.1

PAN-93839

PAN-3000er- und PAN- 5000er-Serie

/

8.0.0-8.0.9

8.1.0

Es wurde ein Problem behoben, bei dem administratoren sich nicht bei der firewall aufgrund einer Nicht-Speicherbedingung anmelden konnten, die gelegentlich dazu führte, dass firewall Prozesse kontinuierlich neu gestartet wurden. ( PAN-90143 stellte eine anfängliche Speichererweiterung in PAN-OS 8.0.9 zur Verfügung, die die Häufigkeit dieser Ereignisse a-memory reduzierte.)

Geringer Speicher im MP Kernel führt zu Systeminstabilität, z. B. Administrator-Anmeldefehler

/ Nicht in MP

Linux-Kernel auf PANOS 8.x/9.x haben das Speicherleck, das im Hauptstream-Linux behoben wird. Portieren Sie den Patch aus dem Hauptstrom-Linux-Kernel.Reboot System

8.0.10 und 8.1.1

PAN-799898.0.0-8.0.8Es wurde ein Problem auf Firewalls mit benutzerdefinierten Signaturen behoben, bei denen niedrige Speicherbedingungen zeitweise zu Commit-oder Content-Installations Ausfällen mit folgendem Fehler führten: "Bedrohungs Datenbank-Handler failed".Commit-Versagendevsrvr verwenden Gabel () Systemaufruf, um einen Kindprozess (tdb_compile) zu spaßen, um Inhalte während der Übergabe zu kompilieren. Wenn der freie Speicher niedrig ist, kann dieser Gabel-Aufruf fehlschlagen, der die Commit-oder Content-Installation nicht verfehlen wird.Reboot System8.1.0, 8.0.9
PAN-90143

PA-5000 Serie/

8.0.0-8.0.8 und 8.1.0

Es wurde ein Problem behoben, bei dem administratoren sich zeitweise nicht bei der anmelden konnten, da sie Prozesse aufgrund einer nicht mehr speicherfreien Bedingung kontinuierlich firewall neu gestartet haben.Systemstabilität/System nicht ansprechbarDer Kernel-trackable-Speicher nimmt ständig ab. Eine Änderung der Kernel-Konfiguration durch Deaktivieren der Seiten Beweglichkeit könnte das Ablegen stoppen.Reboot System8.1.1, 8.0.9
PAN-92268

PA-7000,PA5200,PA3200 Serie/

7.1.0-7.1.16 und 8.0.0-8.0.8

Es wurde ein Problem bei PA-7000 PA-5200 Serien-, Serien- und Serienfirewalls behoben, PA-3200 bei dem eine oder mehrere Datenebenen den Datenverkehr nicht weiterleiteten, wenn Sie mehrere Betriebsbefehle (von einer beliebigen Benutzeroberfläche oder vom Verwaltungsserver) ausgeführt haben, firewall während Änderungen an Panorama Geräte- oder Netzwerkeinstellungen vorgenommen wurden oder während der Installation eines Inhaltsupdates.

VerkehrsrückgangMiss-programing auf pancomm verwenden falsche Bypass-Warteschlange-IDmachen Sie eine weitere Übergabe, wenn dies geschieht.

8.1.0 ,8.0.9

und 7.1.17,

PAN-92564

8.0.0-8.0-8, 8.1.0

 Fixed ein Problem, bei dem ein kleiner Prozentsatz der beschreibbaren SFP Drittanbieter-Transceiver (nicht von Palo Alto Networksgekauft®) nicht mehr funktioniert oder andere Probleme erlebt hat, nachdem Sie die, firewall mit der die SFPs verbunden sind, mit einer PAN-OS [8.0 | 8.1]-Version aktualisiert haben. Mit diesem Update dürfen Sie das firewall PAN-OS Basisabbild [8.0 | 8.1] erst nach dem Herunterladen und Installieren des PAN-OS [8.0.9 | neu starten und installieren. 8.1.x]-Version. Weitere Details, Überlegungen zum Upgrade und Anweisungen zum Aktualisieren Ihrer Firewalls finden Sie in den PAN-OS 8.1-Upgradeinformationen.Nicht unterstützte SFP Arbeitsunterbrechung SDK wurde ein I2C-Lesefehler eingefügt. Dies veranlasste PANOS 8,0, (und Initial 8.1.0), diesen I2C-Busfahrer zu haben, um diesen logischen Fehler in den Lesefunktionen zu haben, der den Controller auf die Protokoll Sequenz des Geräts durcheinander brachte.Verwenden unterstützt SFP

8.1.1, 8.0.9

PAN-89718

PA-7000serie

/

8.0.0-8.0.7

und alle älteren Hauptlinien

Es wurde ein Problem behoben, bei dem Die Firewalls der PA-7000 Serie kontinuierlich neu gestartet wurden, da der "brdagent"-Prozess während des Startvorgangs aufgrund der Schnittstelleninitialisierung nicht mehr reagierte. HSCIFirewall Neustarts

FPP brdagent ist gefesselt Initialisierung der wunderbaren PHYs und kann nicht auf Herzschläge reagieren. Als Ergebnis wird es von masterd getötet

Deaktivieren von HSCI Ports oder Entfernen des HSCI QSFP +-Moduls während des Neustarts

8.1.0, 8.0.8

PAN-86882

8.0.0-8.0.7

und alle älteren Hauptlinien

Es wurde ein Problem behoben, durch das die firewall Datenebene nicht mehr reagierte, nachdem Sie verschachtelte Platzhalter ("*") mit "." oder "/" als Trennzeichen in den URLs einer benutzerdefinierten URL Kategorie ("Objekte > benutzerdefinierte Objekte > URL Kategorie") oder in der "Liste zulassen" eines URL Filterprofils verwendet hatten ("Objekte > Sicherheitsprofile > URL Filtern > URL- Filterprofil> > Überschreibt"). Mit dieser Korrektur erlauben die Firewalls nicht, in solchen Fällen verschachtelte Wildcards zu verwenden. Weitere Informationen finden Sie unter "NESTED WILDCARD(*) IN URLS MAY SEVERELY AFFECT PERFORMANCE".DP Absturz und Neustart aufgrund einer benutzerdefinierten URL Suche

Fehlkonfiguration für benutzerdefinierte URL Kategorie mit verschachtelten Sternchen verursacht DP CPU-Hochlast

Hinweis: Fix ist eine zusätzliche Konfigurations Prüfung, um zu verhindern

Verwenden Sie weniger Sternchen in der Konfiguration. Weitere Informationen finden Sie unter dem Link in der Beschreibung

8.1.0, 8.0.8

PAN-836878.0.0-8.0.6Es wurde ein Problem bei Seriengeräten behoben, Panorama M- bei dem der "configd"-Prozess während eines Vorgangs "Commit > Commit and Push" nicht mehr reagierte, bei dem Panorama Konfigurationsänderungen an Collector Groups übertragen wurden.

konfigurationsd Crash

 

Während des Commits werden Datenstrukturen unter Collector-Einstellungen zerstört.Commit Panorama und Collector-Gruppen-Push nicht gleichzeitig.8.1.0, 8.0.7
PAN-85938

8.0.0-8.0.6

7.1.0-7.1.13

Es wurde ein Problem behoben, durch PAN-OS das die IP Adress-zu-Benutzernamen-Zuordnungen von Endbenutzern entfernt wurden, die sich innerhalb einer Sekunde bei einem internen Gateway angemeldet haben, um sich von diesem GlobalProtect abzumelden.

Benutzer-IP-Mapping-Informationen werden nicht richtig generiertWenn das global protect Logout/login-Ereignis in derselben Sekunde aufgetreten ist, kann die Benutzer-ID in firewall die Reihenfolge dieser Ereignisse nicht bestimmen, da wir timestamp (zweite Granularität) verwenden, um sie zu unterscheiden.

Keine Umgehung verfügbar

8.0.7, 7.1.14
PAN-82125

PA-5000serie

/

8.0.0-8.0.6

Es wurde ein Problem behoben, bei dem die firewall Verwaltungsebene oder Steuerungsebene nach einem Upgrade auf 8.0 kontinuierlich neu gestartet PAN-OS wurde und die folgende Fehlermeldung angezeigt wurde: "rcu_sched festgestellte Staus bei CPUs/Tasks".

kontinuierlich MP / CP Neustarti2c-Problem aufgrund des SFP Moduls, das den Bus hält und dazu führt, dass der i2c-Controller-Reset nicht beendet werden kann.

Verwenden unterstützt SFP 

8.1.0, 8.0.7

PAN-82273

8.0.0-8.0.5,

7.1.6-7.1.13

Es wurde ein Problem behoben, bei dem das Blockieren von Proxysitzungen zum Erzwingen von policy Entschlüsselungsregeln zu einer Erschöpfung des Paketpuffers führte, die schließlich zu Paketverlusten führte.

Hardware Pufferlecksproblem, das sich auf jede Art von Datenverkehr auswirken könnte, der von DPAuslaufen des Paketpuffers aufgrund RST von Paketen, die als Teil der policy -Erzwingung (verweigerter Datenverkehr) in Kombination mit Regeln ohne Entschlüsselung generiert wurden

 

 

1. in ssl No-Decrypt-Regel, in Entschlüsselungsprofil entfernen Aktionen aus "Keine Entschlüsselung"

OR

2. Änderung der Verweigerungsregel policy in fallen

 

8.0.6, 7.1.14

PAN-84545 

PA-800 serie

/

8.0.0-8.0.5

Es wurde ein Problem behoben, bei dem Firewalls der Serie bis zum Neustart nicht PA-800 mehr reagierten und die Firewalls keine Protokolle generierten, als sie nicht mehr reagierten, als sie den Neustart beendeten.

 

 

System reagiert nicht. keine CLI /console/ping-Antwort

manueller Neustart ist erforderlich, um sich von der Ausgabe zu erholen

PA-800 verwendet einen proprietären MDIO Kerneltreiber. Dieser Treiber hatte einen Fehler darin, der eine festgefahrene Bedingung verursachte.

 

 

Keine Umgehung

8.0.6

PAN-82830

PA-5000 Serien und PA-3000 Serien

/

8.0.0-8.0.5

Es wurde ein Problem behoben, bei dem PA-5000 Serien- und Serienfirewalls, bei denen PA-3000 nicht mehr Arbeitsspeicher verfügbar war, kurzzeitig nicht mehr reagierten, die Verarbeitung des Datenverkehrs einstellte und die Generierung von Protokollen einstellte.

 

Firewall "hängt", und es kann nicht über SSH / GUI zugegriffen werden. Es werden keine Protokolle geschrieben, und es gibt keine Mgmt-Konsolenausgabe.

Ein größerer Speicher Fußabdruck von 8,0 verursacht das Problem.

Herabstufung auf 7.1. x (Ausgabe nur bisher auf 8.0. x)

 

8.0.6

PAN-81100

Mit Low-Memory-Plattform wiePA-200 und M-100 vor allem.Andere Plattformen können das gleiche Problem passieren

/

8.0.0-8.0.5

Es wurde ein Problem auf dem firewall Panorama Verwaltungsserver behoben, bei dem ein Speicherverlust dazu führte, dass mehrere Vorgänge fehlschlagen, z. B. FQDN Commits, Aktualisierungen und Inhaltsaktualisierungen.

 

Commit-Ausfall und/oder Speicherleck mit Fehler: Gabel () fehlgeschlagen!

/ Symptome sind Fehler beim Commit, GUI nicht reagieren, HA Konfigurationssynchronisierung stritten, MP Speicherleck, Daemon-Abstürze, hoch MP CPU .

In 8,0 wurden wir auf 64-Bit umgestellt. Daher wird die Verwendung von virt und res Memory leicht steigen.

 

Bei M-100 sollte ein Upgrade auf 32 GB Speicher das Auftreten erheblich reduzieren.

Für PA-200 oder andere Plattformen gibt es keine Problemumgehung, die nicht auf 7.1.x heruntergestuft wurde.

 

8.0.6

PAN-78718

PA-7000 Serie mit Panorama

/

8.0.0-8.0.5

7.1.0-7.1.12, 7.0.0-7.0.18

PA7050 Protokollierung stoppt / Logrcvr stürzt ab PA-7050LPC Das Speichern und Anzeigen neuer Protokolle aufgrund eines Speicherverlusts nach einem Verwaltungsserver, auf dem Panorama ein PAN-OS 8.0 oder neuer ausgeführt wird, wurde beendet

Das Problem tritt häufig auf einer FW 7K-Version mit 7.x auf, die von einem Panorama laufenden Rom (8.0) verwaltet wird.

FW Fehler bei der Verarbeitung von GTP Berichtsdefinitionen, die Speicherverluste verursachen.

 

 

 

Ab Panorama 8.0(oder neuer) CLI Konfiguration:

Set deviceconfig setting management disable-predefined-reports [ gtp-spoofed-end-ip gtp-malicious- wildfire -submissions top-gtp-attackers top-gtp-victims gtp-users-visiting-malicious-url ]

 

8.0.6, 7.1.13, 7.0.19

PAN-82095

Alle in der Beschreibung aufgeführten Software-QoS-Plattform

/

8.0.0 zu 8.0.5

7.1.0 zu 7.1.14

Es wurde ein Problem bei PA-3000 PA-800 Serien-, PA-500 Serien-, , , , und -Serienfirewalls behoben, bei denen der PA-220 PA-200 VM- QoS-Durchsatz auf Schnittstellen fiel, die für die Verwendung eines QoS-Profils mit einem "Egress Max" auf 0 Mbit/s oder mehr als 1143 Mbit/s festgelegt sind ("Netzwerk- > Netzwerkprofile > QoS-Profil").

QoS erzwingt maximale Bandbreite mit weniger Datenverkehr als konfiguriertCodierungsfehler, der Max bis 1Gbps

 

Senken Sie die QoS-Bandbreite unter 1143mbit/s, Herabstufung auf<=7.1.10 and/or=""></=7.1.10><=8.0.3></=8.0.3>

 

8.0.6, 7.1.14

PAN-82275

VM-serie

/

8.0.0 auf 8.0.4
VM sereis: Verkehr wird wegen flow_qos_pkt_timeout eingestelltQoS-Paket ist nicht nach 82 Tagen aus der Warteschlange entfernt

Die QoS-Timer-Variable wurde nicht korrekt zurückgesetzt.

QoS-Config deaktivieren

 

8.0.5

PAN-81590

PA-5200 serie

/

8,0,0 bis 8,0,4
Interne Linkinstabilität zwischen DP und CE (Content Engine)5200 Plattformen betrifft. Das System kann auch dann weiter starten, wenn CE init fehlschlägt. Dies verursacht Probleme mit Layer7-Inspektion und HA Pfadmonitor, etc.

controlplane-console-output.log zeigt folgenden Fehler an:

nac0: Speicherkanäle init unvollständig
 

Es ist interne Verbindung Problem zwischen DP und CE .
imporved Link init und Wiederherstellungsmechanismus

 

Verwenden Sie Software Aho und Dfa.

> Debug-Datenebenen-Fpga-Set sw_aho ja
> Debug-Dataplane-Fpga-Satz sw_dfa ja

 

8.0.5

PAN-81990

PA-5220,PA-5250

/

8.0.4
Mehrere DP Neustarts durch all_pktprocDP aufgrund der Größe des kleinen Speicherpools in 8.0.4. Nur auf PA-5220 und PA-5250 gesehen. Mit der gleichen Ursache, Andere Symptome wie GP ( ) Verbindungen fallen und GlobalProtect SSL Entschlüsselung Sekverkehr ausfalle könnte passieren

feste Speicher-Pool-Größe auf die betroffene Plattform

 

Verwenden Sie andere Plattformen als PA-5220 oder PA-5250 . Oder Downgrade auf 8.0.3.

 

8.0.5

PAN-78572

M-serie

/

8,0,0 bis 8,0,4
Protokollierter hoher Speicher in M- SerieTypische Symptome:
-Verkehrs- und Bedrohungsprotokolle verzögert enden Panorama um 24 Stunden.
-Oom Kernel-Absturz
-commit-Fehler
-Speicherzuweisungsfehler

Aufgrund der Indizierung von Nachrichten in Evtmgr Warteschlangen beginnen. Dies bewirkt, dass den Speicher-Aufbau Logd und Ergebnisse in Indizierungsprozess nicht könnend Start.

keine Abhilfe

 

8.0.5

PAN-80445

M-serie

/

8,0,0 bis 8,0,3
Gemeldetes Speicherleck in M- SerieReportd Speicher erhöht, bis Sie sind erschöpft. Träge Performance oder Verlust der Fähigkeit, verwalten kann.

Gemeldeter Speicherverlust tritt nur bei M- Serien im Combo-Modus auf.

in Reportd Prozess behoben verschiedene Speicherleck

 

Verwenden Sie Combo-Modus nicht. Verwenden Sie dedizierte Protokollsammler.

 

8.0.4

PAN-74655

Nicht plattformspezifisch

/

7.0.x, 7.1.x
Hoch DP CPU mit hoher urlcache_lookup BearbeitungszeitHohe DP Auslastung und allgemeine Verkehrsverlangsamung durch URL Filterung. Urlcache bezogene Funktion Prozesszeit steigt im "debug Dataplane pow Leistung"

Problem mit URL Cache, wenn der Cache mehr als 1 Million URLs im Cache erhält MP und der Geräteserver hohe CPUs verbraucht. DP auch verbraucht CPU hoch, um lokalen Cache zu suchen wird groß

 

Löschen DP und MP Cache:

>Clear url-cache alle

>löschen url-database alle

 

PAN-DB Cloud-Update hat die Korrektur im März/2017

PANOS fix in 6.1.18, 7.0.16 und 7.1.10.

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm68CAC&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language