Kritische Probleme, die in Releases behandelt PAN-OS werden
Symptom
Historische kritische Problemliste in Veröffentlichungen adressiert PAN-OS
Environment
Alle aktuellen PAN-OS
Resolution
Zuletzt aktualisiert am: Juli 27th , 2021
Diese Liste beschränkt sich auf kritische schwere Fragen wie von Palo Alto Networks bestimmt und ist nur zu Informationszwecken bereitgestellt.
- Bitte überprüfen Sie die Informationen in den Versionshinweisen, um die neuesten Informationen zu festen Versionen anzuzeigen.
- Bitte erstellt eine Anfrage mit Ihren Supportanbieter für eine detaillierte Untersuchung, wenn Sie das Gefühl, dass Sie eines der folgenden Probleme aufgetreten sind.
- Wartungsversionen sind der primäre Mechanismus, um Probleme zu beheben.
- A Maintenance Release wird durch die dritte Ziffer in der Release-Versionsnummer gekennzeichnet (z.B. die .2 in PAN-OS 10.0.2 ).
- asterisk(*) in Fixed release wird für die interne Prüfung verwendet. bitte ignorieren Sie es.
Fehler | Betroffene Plattform (falls überhaupt) /Affected Version | Beschreibung (Release Note) | Auswirkungen | Ursache | Problemumgehung | Fixe Version |
PAN-163800 | 10.1.0 | Es wurde ein zeitweiliges Problem behoben, bei dem das Vorhandensein eines Anti-Spyware-Profils in einer policy Sicherheitsregel, die dem DNS Datenverkehr entsprach, dazu führte, dass DNS Reaktionen während der Übertragung fehlerhaft waren. | DNS-Antwort ist beschädigt | Code der Lizenzprüfung und TTL -änderung hatte einen Fehler bei der Beantwortung DNS | Entfernen von Anti-Spyware, die ein Profil enthält dns security | 10.1.1* |
PAN-146250 | 9.0.0-9.0.13 9.1.0-9.1.9 | Es wurde ein Problem behoben, bei dem in zwei separaten, aber gleichzeitigen Sitzungen derselbe Softwarepaketpuffer besessen und verarbeitet wurde. | DP Crash | Für das Inter-vsys-Szenario könnte derselbe SW-Paketpuffer in zwei verschiedenen Sitzungen gleichzeitig verarbeitet werden, was wiederum das Problem verursacht. | Verwenden Sie IPsec VPN anstelle von SSL | 9.0.14,9.1.10* |
PAN-156017 | 9.1.0-9.1.6, 10.0.0-10.0.2 | Es wurde ein Problem behoben, bei dem ein Hostinformationsprofil ( HIP ) XML Ein Berichtspuffer ein Speicherleck verursachte | Nicht genügend Arbeitsspeicher in MP | HIP Der Berichtspuffer wurde nicht freigegeben, nachdem eine Nachricht gesendet wurde, was zu einem Speicherverlust führte | Umverteilung deaktivieren hip | 9.1.7,10.0.3 |
PAN-156225 | PA-3200series | Es wurde ein Problem behoben, bei dem der HA1-Port B auf Serien nach dem Upgrade von PA-3200 9.1.4 auf 9.1.5 unten blieb. | HA1-Link B nach unten | Fehler beim Abrufen eines zugehörigen SysD-Knotens | nichts | 8.1.19,9.1.9,10.0.5* |
PAN-136347 | 8.1.0-8.1.18, 9.1.0-9.1.8 , 10.0.0-10.0.4 | Es wurde ein Problem behoben, bei dem DNS TCP Proxyverbindungen falsch verarbeitet wurden, wodurch ein Prozess ("dnsproxy") nicht mehr reagierte. | dnspropyd Absturz / hoch CPU | tcp_wait_timer auf dem Daemon wurde nicht richtig gelöscht | Problemumgehung besteht darin, die TCP Verbindung über DNSproxy-Daemon zu deaktivieren, um Probleme mit Proxy-Anforderungen zu TCP vermeiden. | 8.1.19, 9.1.9,10.0.5,* |
PAN-150852 | 8.1.0-8.1.18 ,9.0.0-9.0.12 ,9.1.0-9.1.6 ,10.0.0-10.0.4 | Es wurde ein Problem behoben, bei dem die SMTP Dateinamen der Anlage länger als der zugewiesene Puffer waren. Wenn der Dateiname länger als der Puffer war und Layer 7-Prüfung aktiviert war, wurde die Datei gelöscht, was dazu führte, dass Sitzungsfehler und eine E-Mail nicht gesendet wurden. | DP Absturz / SMTP Paketabwurf | Problem bei der Pufferbehandlung bei der Verarbeitung des SMTP Mult-Part-Dateinamens | nichts | 8.1.19 9.0.13 9.1.7 10.0.5 |
PAN-143485 | 8.1.0-8.1.18, 9.0.0-9.0.12 , 9.1.0-9.1.6, 10.0.0-10.0.4 | Es wurde ein Speicherverlust im Zusammenhang mit einem Prozess behoben (*devsrvr*). | Speicherverlust des Geräteservers | mehrere Lecks URL (,confg,etc)werden behoben | Neustart von devsrvr, bevor der Gerätespeicher erschöpft ist | 9.0.13,9.1.8,10.0.0 |
PAN-156891 | 9.1.0-9.1.7 10.0.0-10.0.4 | Es wurde ein Problem behoben, bei dem einige ZIP-Dateien nicht heruntergeladen wurden, und die folgende Fehlermeldung wurde angezeigt: 'Ressourcen nicht verfügbar'. | L7-Funktion funktioniert nicht, wenn der Fehler "Ressourcennichtverfügbar" trifft | Der Decoderpuffer würde eine hohe Anzahl von Schleifen in der L7-Verarbeitung durchlaufen. Es erreicht die maximale Grenze. | "Set deviceconfig setting session resource-limit-behavior bypass" hilft, Sitzungen zu umgehen, die den Fehler beheben. debug dataplane fpga set sw_aho yes debug dataplane fpga set sw_dfa yes | 9.1.8 10.0.5 |
PAN-145417 | 9.0.0-9.0.12 | Debugbefehle wurden hinzugefügt, um ein Problem zu beheben, bei dem die firewall Verbindung mit Data Lake aufgrund der Meldung Online Certificate Status Protocol ( ) fehlt der Wert Cortex OCSP "nextUpdate" in der OCSP Antwort. | sslmgr Speicherleck verursachte ein Problem auf OCSP | Fehlgeschlagene OCSP Abfragen werden für lange Zeit zwischengespeichert. Es wirkt sich auf das normale Verhalten von sslmgr und seine Speichernutzung steigt | sslmgr-Prozess neu starten | 9.0.13,9.1.8,10.0.4 |
PAN-149297 | 9.1.0-9.1.6 10.0.0-10.0.1 | Es wurde ein Pufferüberlaufproblem auf dem Verwaltungsserver behoben, das den Administrator dazu zwang, sich auf der Weboberfläche abzumelden. | Managementserverabsturz | Fehlende Close-Aufrufe für eine interne DBs | Vermeiden Sie mehrere Validierungs-Commits, commitAlls | 9.1.7,10.0.2 |
PAN-153673 | Technisch kann alle FW Plattform betroffen sein. aber wir erhalten nur Berichte von PA5200,PA7000serie | Es wurde ein Problem behoben, bei dem Datenverkehrsprotokolle aufgrund eines Threadtimeouts, das das Lesen der Protokolle von der Datenebene verlangsamte, nicht angezeigt wurden. | Protokollierung wird zeitweise beendet | Der Hauptthread war damit beschäftigt, Cache-Alter zu tun, was dazu führt, dass das Lesen der Protokolle aus dem Link aus dem DP verlangsamt stark verlangsamt. | nichts | 8.1.18, 9.0.11, 9.1.6, 10.0.2 |
PAN-152106 | 8.1.14-8.1.16 9.0.8-9.0.10 9.1.0-9.1.5 10.0.0-10.0.1 | Es wurde ein Problem behoben, bei dem ein Prozess (*genindex.sh*) dazu führte, dass die Nutzung der Verwaltungsebene CPU über einen längeren Zeitraum als erwartet hoch blieb. | Hohe MP CPU | Das Skript sucht Log-Verzeichnisse intensiv | Konfigurieren Sie Max. Tage für die Protokolltypen, um Aufbewahrungstage zu reduzieren, um die Anzahl der protokollierbaren Protokolle zu reduzieren. | 8.1.17, 9.0.11, 9.1.6,10.0.2 |
PAN-154181 | Panorama 8.1.16 | Es wurde ein Problem behoben, bei dem der Panorama Kontextwechsel zur Weboberfläche eines firewall verwalteten PAN-OS 8.1.16 nicht funktionierte. | Kontextwechsel ist nicht möglich | A Fehlerbehebung verhinderte, dass der Kontextwechsel funktionierte | nichts | 8.1.17 |
PAN-151197 | 9.1.3 10.0.0 | Es wurde ein Problem behoben, bei dem ein Prozess (*authd*) neu gestartet wurde, als sich ein Administrator beim Active Directory - ) -Konto authentifizierte. firewall AD Dieses Problem trat auf, als LDAP mit konfiguriert FQDN DHCP wurde, anstelle einer statischen Verwaltungsadresse verwendet IP wurde, und die Verwaltungsschnittstelle zum Herstellen einer Verbindung mit dem Server verwendet LDAP wurde. | Authd-Absturz | Der Grenzfall, der DHCP mgmt zugewiesen wurde IP | Serviceroute für LDAP | 9.0.10, 9.1.4, 10.0.1 |
PAN-141221 | 9.0.0-9.0.9 9.1.0-9.1.2 | Es wurde ein Problem behoben, bei dem ein Commit- oder Inhaltsaktualisierungsvorgang mit einem Fehler nicht daran gehindert wurde, in der Datenebene ausgeführt zu werden, was zu einer Beschädigung im policy Datenebenencache führte. | DP Crash | - Wenn DP Phase1-Analysefehler beim Config-Commit auftritt, wurde das Abbruchsignal nicht ordnungsgemäß bereinigen, so dass der policy Cache beschädigt ist | Stellen Sie sicher, dass die Konfiguration nicht in DP | 9.0.10, 9.1.3 |
PAN-144598 | 8.1.0-8.1.15 9.0.0-9.0.9 9.1.0-9.1.2 | Es wurde ein Problem behoben, bei dem der freie Speicher der Datenebene aufgebraucht war, was sich auf neue GlobalProtect Verbindungen zum firewall | GP Verbindungsfehler | Die URL Datenstruktur wird während des clientlosen Zugriffs nicht VPN app frei. | Nein | 8.1.16, 9.0.10, 9.1.3 |
PAN-150172 | 8.1.15,9.0.9,9.1.3 | Es wurde ein Problem behoben, bei dem Datenebenenprozesse neu gestartet wurden, wenn versucht wurde, auf Websites zuzugreifen, auf denen das Attribut "NotBefore" kleiner oder gleich Unix Epoch Time im Serverzertifikat mit aktiviertem Vorwärtsproxy war. | DP Neustart beim Analysieren des Zertifikats | Der Wert "NotBefore" wurde nicht ordnungsgemäß initialisiert. | 1) Importieren Sie den Aussteller des Servers CA in die und markieren Sie sie als firewall vertrauenswürdig, 2) Deaktivieren Sie die OR Entschlüsselung auf diese Server mit NotBefore <= 1970/1/1 00:00:00 UTC Dies ist keine praktische Lösung | 8.1.15-h3, 8.1.16, 9.0.9-h1, 9.0.10, 9.1.3-h1, 9.1.4, |
PAN-137387 | 8.1.0-8.1.14 9.0.0-9.0.8 9.1.0-9.1.2 | Es wurde ein Problem behoben, bei dem URL beim Filtern die Adresse anstelle des Hostnamens verwendet wurde, was zu einer falschen IP URL Kategorisierung führte. | Problem bei der Hostheaderbehandlung verursacht URL Filterfunktion | Fehlbehandlung, wenn der Host-Header nicht im 1. Paket enthalten ist | Aktivieren Sie Jumboframe, oder verwenden Sie benutzerdefinierte URL-Kategorie oder benutzerdefinierte-appid, um Zeichenfolge "/webapp/wcs/stores/" zu erkennen. | 8.1.15, 9.0.9, 9.1.3 |
PAN-148068 | 8.1.0-8.1.14 9.0.0-9.0.8 9.1.0-9.1.2 | Es wurde ein Problem behoben, bei dem SSL Verbindungen blockiert wurden, wenn Sie die Entschlüsselung mit der Option zum Blockieren von Sitzungen mit abgelaufenen Zertifikaten aktiviert haben. Dieses Problem umfasste Server, die eine abgelaufene AddTrust-Zertifikatsautorität ( ) in der Zertifikatkette gesendet CA haben. | SSL Entschlüsselung schlägt an einer Website fehl | festes SSL Zertifizierungsüberprüfungsverfahren | Deaktivieren Sie die Zertifikatablaufprüfung. (wenn keine Ablaufprüfung akzeptabel ist) | 8.1.15, 9.0.9, 9.1.3 |
PAN-103290 | PA3200serie 8.1.14 nur | Es wurde ein Problem behoben, durch das die firewall Aufzeichnung von Datenebenendiagnosedaten in dp-monitor nach einigen Stunden Betriebszeit behoben wurde.log. | DP Crash | Tag-eins-Problemabsturz bei der Übergabe | Keine Umgehung | 8.1.15 |
PAN-139587 | PA5200,PA7000Serie 8.1.0-8.1.14 9.0.0-9.0.8 9.1.0-9.1.4 | Es wurde ein Problem behoben, bei dem eine hohe und kontinuierliche CPU Auslastung auf Datenebenen beobachtet wurde, nachdem IPSec Encapsulating Security Payload ( ) für mehrere Tunnel erneut codiert ESP wurde. | High CPU / High Packet Deskriptor | ESP Rekey-Problem | Starten Sie nach dem Failover den Fehler FW | 8.1.15, 9.0.9 , 9.1.4 |
PAN-144479 | 8.1.14 nur | Es wurde ein Problem behoben, bei SNMP dem Objekte aus den HOST-RESOURCES-MIB zurückgegebenen falschen Werten beim Abgefragt wurden. | snmp für das Spezifische MIB funktioniert nicht | Regression eines Snmp-Fixes | Keine Umgehung | 8.1.15 |
PAN-136701 | PA7000Serie 9.0.0-9.0.7 9.1.0-9.1.1 | Die folgenden CLI Befehle wurden hinzugefügt, um ein Problem zu beheben, bei dem Pakete für neue Sitzungen bei der Verarbeitung von Vorhersagesitzungen verworfen wurden: - 'Sitzung s/h beenden, ja' - 'Sitzungs-hwpredict-Status anzeigen' | Paketabwurf bei Vorhersagesitzungsabgleich | Hinzugefügter Problemumgehungsbefehl | , um die Vorhersagesuche in zu deaktivieren FPP-HW und FPP-SW zu verwenden. Dies wird mit einem Betriebsbefehl gesteuert. | 9.0.8, 9.1.2 |
PAN-121626 | PA3200Serie | Es wurde ein intermittierendes Problem behoben, bei dem Firewalls Pakete löschten, was probleme verursachte, wie z. B. Datenverkehrslatenz, langsame Dateiübertragungen, reduzierten Durchsatz, interne Pfadüberwachungsfehler und Anwendungsfehler. | Verkehrsproblem | Problem beim Speichertiming | Keine Umgehung | 8.1.14,9.0.7,9.1.2 |
PAN-125534 | PA5200,PA7000Serie 8.1.0-8.1.13 9.0.0-9.0.7 | Es wurde ein Problem behoben, bei dem Firewalls während der Uploads in die Cloud oder Appliance eine hohe Paketdeskriptor-Nutzung (on-chip) WildFire WF-500 auftraten. | Übermäßige WF Uploads verursachten hohe Paketbeschreibung | Übermäßige WF Uploads überpressen Plattformressourcen. Maximale Anzahl ausstehender WF Uploads begrenzen | Konfigurieren Sie Device > Setup > WildFire > Allgemeinen Einstellungen > Dateigrößenbeschränkungen, um die folgenden - pe 8 MB | 8.1.14,9.0.8,9.1.2 |
PAN-135260 | PA7000serie nur 8.1.12 nur | Es wurde ein intermittierendes Problem behoben, bei dem der Datenebenenprozess (*all_pktproc_X*) auf einer Netzwerkverarbeitungskarte ( ) bei der Verarbeitung des NPC IPSec-Tunnelverkehrs neu gestartet wurde. | DP Crash | Absturz bei Flow-Suche Hinzugefügt einen Validierungscode | Keine Umgehung | 8.1.13,9.0.7,9.1.2 |
PAN-136820 | 8.1.0-8.1.13 | Es wurde ein Problem behoben, bei dem ein Failover mit hoher Verfügbarkeit ( HA ) aufgetreten ist, nachdem firewall die folgende Fehlermeldung im **System**-Protokoll gemeldet wurde: 'Dataplane down: controlplane exit failure'. | DP Absturz / Unten Interner Pfadmonitor schlägt fehl | NFS Übertragungsproblem bei DP Tweaking-Optionen NFS | Keine Umgehung | 8.1.14,9.0.0 |
PAN-102096 | PA7000Serie 8.1.0-8.1.12 | Es wurde ein Problem behoben, bei dem der erste Paketprozessorpaketpuffer nicht mit der richtigen Ausrichtung zugewiesen wurde, was zu Einer Speicherbeschädigung führte. | Interner Pfadmonitorfehler , FPP Absturz | Mögliche Speicherbeschädigung auf FPP | Keine Umgehung | 8.1.13 |
PAN-133440 | PA5200,PA7000Serie 8.1.8-8.1.12 9.0,9.1 | Es wurde ein Problem behoben, bei dem fragmentierter Datenverkehr zu hohen Datenebenennutzungs- und firewall Leistungsproblemen führte. | hoher CPU / hoher Paketpuffer | Fragment-Wiederzusammenbau-Problem | Erwägen Sie das Blockieren von Fragmenten über den Zonenschutz. | 8.1.13,9.0.7,9.1.2 |
PAN-131993 | Panorama Baureihe 8.1.11-8.1.12 9.0,9.1 | Es wurde ein Problem behoben, bei dem ein Prozess (*gemeldet*) beim Ausführen einer Protokollabfrage abstürzte. | gemeldeter Absturz | Doublefree beim Bereinigen bei der Verarbeitung einer Protokollabfrage | Zulassen, dass die Abfrage bis zum Abschluss ausgeführt wird, bevor Sie die Registerkarte/den Browser schließen | 8.1.13,9.0.7,9.1.2 |
PAN-115875 | LFC(PA7000) 9.0.0-9.0.5 | Es wurde ein Problem behoben, bei dem ein PA- 7080b-Paar HA neu gestartet wurde, als der Paketverkehr mit großer Größe die Frontpanel-Ports der Log Forwarding Card ( beeinträchtigte. LFC | LFC Neu starten | LFC Fehler bei der Behandlung von Frontport-Fehlern beim Empfang von Jumboframes | Vermeiden Sie die Verbindung der Front Panel-Ports mit Netzwerken mit Jumbo-Frames | 9.0.6 und 9.1.0 |
PAN-123667 | 9.0.0-9.0.5 | Es wurde ein Problem behoben, bei dem der "snmpd"-Prozess beim Abrufen globaler Leistungsindikatoren abstürzte. | snmpd Absturz und OOM (nicht im Speicher) im Kernel | Speicherleck von snmpd beim Zugriff auf globale Zähler-OIDs | Um diesen Absturz zu vermeiden, wird vermieden, dass OIDs in der globalen Leistungsindikatortabelle angezeigt werden. | 9.0.6 und 9.1.0 |
PAN-123322 | PA3200,PA5200,PA7000Serie 8.1.0-8.1.11 9.0.0-9.0.5 | " PA-3200 PA-5200 Serien-, Serien- und PA-7000 Serienfirewalls, die " PAN-OS <8.1.11 |="" 9.0.5="">nur" ausführen) Es gibt ein intermittierendes Problem, bei dem ein Prozess ("all_pktproc") aufgrund einer Beschädigung eines Arbeitsabfrageeintrags ( ) nicht mehr reagiert, WQE die durch doppelte untergeordnete Sitzungen verursacht wird.</8.1.11> | Absturz der Datenebene | Absturz bei Übergabe des Pakets in Vorhersagesitzung | nichts | 8.1.12,9.0.6 und 9.1.0 |
PAN-128269 | PA5200Serie nur 8.1.10-8.1.11 9.0.0-9.0.5 | " PA-5250 PA-5260 , und PA-5280 Firewalls mit nur 100GB AOC Kabeln") Wenn Sie den ersten Peer in einer Hochverfügbarkeitskonfiguration ( HA ) auf "[ PAN-OS 8.1.9-h4 oder ein neueres] / [a PAN-OS 9.0]" Release aktualisieren, kommt der High Speed Chassis Interconnect ( HSCI ) Port erst nach dem Beenden des Upgrades des zweiten Peers auf. FEC | HSCI Schnittstelle nach unten | Interne Chipkonfiguration AOC betroffenes Modul | Konsultieren Sie Techsupport für Upgrade-Verfahren, sonst vermeiden Sie die Veröffentlichungen | 8.1.12,9.0.6 und 9.1.0 |
PAN-124481 | 9.0.0-9.0.4 | Es wurde ein Problem behoben, bei dem die Datenebene nicht mehr reagierte, wenn SMTP Sitzungen verwendet wurden. | DP Absturz/ Interner Pfadmonitor-Fehler | MIME Grenze wird irrtümlich berechnet | app-überschreiben Sie das SMTP | 9.0.5 |
PAN-126547 | 8.1.0-8.1.10 | Es wurde ein Problem behoben, bei dem ein Prozess ("configd") nicht mehr reagierte, als ein XML API Aufruf mit "type=config&action=get" während eines Commits ausgelöst wurde. | configd Crash | Null wurde nicht auf einen Zeiger festgelegt, wenn der XML-Knoten freigegeben wird. | Führen Sie xml api nicht aus, um vordefinierten xpath abzubekommen | 8.1.11 und 9.0.5 |
PAN-120662 | PA-7000 nur Serie XM (Karten sind nicht betroffen) | ["PA-7000 Serie Firewalls mit PA-7000 -20G-Karten NPC nur"] Es wurde ein intermittierendes Problem behoben, bei dem eine Nicht-Speicherbedingung ( OOM ) dazu führte, dass die Datenebene oder die interne Pfadüberwachung nicht mehr reagierte. | DP Absturz/ Interner Pfadmonitor-Fehler | Nicht genügend Speicher wurde dem Linux-Kernel zugewiesen | Keine Umgehung | 8.1.11 und 9.0.4 |
PAN-119862 | PA5050 nur 8.1.0-8.1.11 | Es wurde ein intermittierendes Problem behoben, bei dem eine OOM Nicht-Speicherbedingung ( ) dazu führte, dass die Datenebene oder die interne Pfadüberwachung nicht mehr reagierte. Mit diesem Update wird die Sitzungskapazität um 400.000 reduziert. | DP Absturz/ Interner Pfadmonitor-Fehler | Nicht-Speicher auf DP0 | Keine Umgehung | 8.1.11 |
PAN-115695 | 8.0.x 8.1.0-8.1.9 9.0.0-9.0.3 | Ein intermittierendes Problem wurde behoben, bei dem eine große Anzahl von Paketen empfangen wurde, bevor Bestätigungen abgeschlossen wurden, wodurch deskriptor-Warteschlangeneinträge erschöpft wurden und eine hohe Latenz bei Datenübertragungen resultierte, obwohl die CPU Verwendung normal aussah. | Hoher Paketdeskriptor und Paketpuffer | Daher können eine oder mehrere aggressive TCP Sitzungen alle Deskriptorwarteschlangeneinträge aufgrund von Ack-Paketen übernehmen. | Klare Sitzung, die das Problem verursacht | 8.1.10 und 9.0.4 |
PAN-116613 | 8.0.x 8.1.0-8.1.8 9.0.0-9.0.3 | Es wurde ein Problem bei einer VM- firewall seriein Microsoft Azure behoben, bei der Pakete aufgrund eines Kernelfehlers stillschweigend gelöscht wurden. | Verkehrsabfall bei geplatzten Verkehr | Ein Kernelfehler bei der Verarbeitung von Busdatenverkehr in Azure | Keine Umgehung | 8.1.9 und 9.0.4 |
PAN-120194 | 8.1.5-8.1.9 9.0.0-9.0.3 | ("Virtuelle und M- Seriengeräte Panorama und nur Log Collectors") Es wurde ein Problem behoben, bei dem geschlossene Elasticsearch- ( ES )-Indizes weiterhin Protokolle empfangen und erneut in die Warteschlange einreihen, was zu einer hohen CPU Auslastung führte. | Protokollaufnahmefehler und hohe CPU | Monatsindex unerwartet geschlossen | Kontakt Techsupport | 8.1.10 und 9.0.4 |
PAN-118407 | 8.1.0-8.1.8 9.0.0-9.0.3 | Es wurde ein Problem behoben, bei dem ein interner Pfadüberwachungsfehler aufgrund eines Pufferlecks zum Neustart führte. firewall | DP Neustart aufgrund eines internen Paketpfadüberwachungsfehlers | Durcheinander des Pufferpools | Keine Umgehung | 8.1.9 und 9.0.4 |
PAN-117720 | 8.1.0-8.1.9 9.0.0-9.0.3 | ("GlobalProtect Nur clientlose VPN Umgebungen") Es wurde ein Problem behoben, bei dem ein Prozess ("all_pktproc") nicht mehr reagierte und dazu führte, dass der Prozess bei der firewall Verarbeitung des clientlosen Datenverkehrs unerwartet neu gestartet GlobalProtect VPN wurde. Um dieses Update zu nutzen, müssen Sie zuerst ein Upgrade ("Devices>Dynamic Updates") auf GlobalProtect Clientless VPN Content Release 79 oder eine neuere Version durchführen. | DP Crash | Ausnahme bei der Verarbeitung von clientlosem VPN Paket mit großem Paket | ClientlessVPN auf GP ( ) ändern oder auf SSLVPN 8.1.8 oder älter herabstufen | 8.1.10 und 9.0.4 |
PAN-113971 | 8.1.0-8.1.8 9.0.0-9.0.3 | ("PA-7000 Serie nur") Es wurde ein Problem behoben, durch das der High Speed Chasis Interconnect ( HSCI ) Link nach dem Neustart der überschlug. firewall | HSCI Klappe | Signalfehler auf SMC | 8.1.9 und 9.0.4 | |
PAN-111708 | 8.1.0-8.1.8 9.0.0-9.0.2 | ("PA-3200 Nur Firewalls der Serie") Ein seltenes Softwareproblem wurde behoben, durch das die Datenebene unerwartet neu gestartet wurde. Um dieses Update zu nutzen, müssen Sie den Befehl "debug dataplane set pow no-desched yes" ausführen (erhöht die CLI CPU Auslastung). | DP Crash | Dezeitplan-Problem bei CPU Verwendung in PA3200 | Keine Umgehung | 8.1.9 und 9.0.3 |
PAN-117729 | 8.1.8 nur | Es wurde ein Problem behoben, bei dem die firewall falsch angezeigten Anwendungsabhängigkeitswarnungen ("Richtlinien > Sicherheit") nach dem Initiiert eines Commits behoben wurden. | Anwendungsabhängigkeit wird beim Commit angezeigt | aufgrund unvollständiger Korrektur von PAN-98386 | Keine Umgehung | 8.1.9 |
PAN-107005 | PA3200 Serie nur 8.1.0-8.1.4 9.0.0-9.0.2 | Es wurde ein Problem bei Firewalls der Serie behoben, PA-3200 bei dem Pakete fielen, als ein VSS- Überwachungs-Ethernet-Trailer von einem externen Gerät angehängt wurde. | L4checksum schlägt bei der Überwachung des Anhängers fehl VSS und das Paket fällt | Netzwerk-Abladeprozessor löscht das Paket aufgrund seiner L4-Überprüfungsüberprüfung | Keine Problemumgehung. Upgrade PANOS | 8.1.5 und 9.0.3 |
PAN-112814 | 8.1.6-8.1.7 und 9.0.0-9.0.1 | Es wurde ein Problem behoben, durch das H .323-basierte Aufrufe Audio verloren, weil die vorhergesagte H .245-Sitzung nicht in den Status Aktiv konvertiert wurde, wodurch firewall der H .245-Datenverkehr gelöscht wurde. | Vorhersage eines Sitzungsfehlers | Vorhersagesitzung kann nicht erstellt werden, wenn die Vorhersagesitzung durch S2C-Flow erstellt wird und ihre Quelle NATed | Verwenden Sie keine Quelle NAT | 8.1.8 und 9.0.2 |
PAN-103023 | 8.0.14-8.1.15 8.1.2-8.1.6 | Es wurde ein intermittierendes Problem behoben, bei dem eine Inhaltsinstallation (Inhalt) einen Konfigurationsfehler verursachte firewall und nicht mehr firewall reagierte. | FQDN Objekte werden als 0.0.0.0 aufgelöst. und auf DP . geschoben, die Verkehrsproblem verursacht | Content-Installationsauftrag beinhaltet irrtümlich falsche Konfiguration | Erzwingen Oder erzwingen Sie eine weitere FQDN Aktualisierung. | 8.0.16 ,8.1.7 und 9.0.0 |
PAN-108241 | PA-3200 Serie/ 8.1.0-8.1.5 | Es wurde ein Problem in einer Serie behoben, PA-3200 firewall bei dem mehrere Datenebenenprozesse (all_pktproc, flow_mgmt, flow_ctrl und pktlog_forwarding) nicht mehr reagierten, wenn sie mit Datenverkehr überlastet waren. | DP Crash | Flow Ager Prozess doppelt frei | Aktivieren sie Software aho/dfa und pscan kann die Wahrscheinlichkeit von Auftreten von Problem erheblich reduzieren. | 8.1.6 und 9.0.0 |
PAN-109594 | 8.0.14, 8.1.5 nur | Es wurde ein Problem behoben, bei dem die Datenebene neu gestartet wurde, als ein IPSec-Rekey-Ereignis auftrat, und einen Tunnelprozessfehler (Tund) verursachte, wenn ein --, aber nicht beide-- HA Peer PAN-OS 8.0.14 oder PAN-OS 8.1.5 ausgeführt wurde. | DP Neustart aufgrund eines Tundabsturzes während der Versionsübereinstimmung in HA Peers während des Upgradevorgangs | DP Neustart aufgrund eines Tundabsturzes, der durch ike rekey im Paar verursacht wird HA | Passen Sie vor dem Upgrade HA von Peers die Lebensdauer vorübergehend auf länger als den Standardwert an, IKE um sicherzustellen, dass ein Rekey-Ereignis während des Aktualisierungsvorgangs nicht auftritt. Kann auch zwischen Peers brechen HA und einzeln als Standalone aktualisieren. | 8.0.15, 8.1.6 |
PAN-108785 | PA3200 Serie/ 8.1.0-8.1.5 | Es wurde ein intermittierendes Problem bei einer firewall HA aktiv/passiven Konfiguration behoben, bei der ein Ping-Test auf Ethernet 1/1, 1/2 und 1/4 aufgrund von Eingabefehlern am entsprechenden Switch-Port nach einem Failover nicht mehr HA reagierte. | eth1/1,2,4 beschädigt Paket bei Übertragung nach HA Failover | Schnittstelleninitialisierungsschritte nach HA Failover als unnötige Anweisungen bezeichnet | manuell schließen/kein Schließen der Schnittstellen | 8.1.6 und 9.0.0 |
PAN-107791 | 8.1.4 | Es wurde ein Problem behoben, bei dem nach dem Upgrade von PAN-OS 8.1.3 auf 8.1.4 die CLI Zwei-Faktor-Administratorauthentifizierung fehlstrich. | 2FA schlägt fehl | Socket-Handling-Fehler für 2FA | Keine | 8.1.5 und 9.0.0 |
PAN-107365 | 8.1.4 | Es wurde ein Problem bei Serien- und virtuellen Appliances behoben, bei dem das Gerät nach einer Änderung an einer Vorlage und dem Versuch, auf Panorama M- ein Zielgerät zu übertragen, nicht in der Liste Push Scope Selection angezeigt wird ("Push > Push to Devices > Bearbeiten von Auswahlen > Gerätegruppen"). | Gerät in Vorlage nicht angegeben | Ausnahme im PHP-Code | Keine | 8.1.5 |
PAN-107271 | 8.1.4 | Es wurde ein Problem bei einer PA-3200 Serie firewall mit PAN-OS 8.1.4 in einer Konfiguration behoben, bei HA der der HA1-Port B (Backup) nicht wie erwartet aufkam. | HA1B-Port ist unbrauchbar | zusätzliche Fixierung von PAN-89402 | Verwenden Sie eine andere Schnittstelle für HA1 | 8.1.5 |
PAN-100244 | 8.0.x,8.1.x | Es wurde ein Problem behoben, bei dem eine fehlgeschlagene Commit- oder Commit-Überprüfung gefolgt von einem Nicht-Benutzer-Commit-Ereignis (z. B. einer FQDN Aktualisierung, einer externen dynamischen Listenaktualisierung oder einer Antivirusaktualisierung) zu einer unerwarteten Änderung der Konfiguration führte, die dazu führte, dass der firewall Datenverkehr herunterfiel. | Verkehrsrückgang durch falsch policy angewendete | .xml wurde geändert, was nicht passieren sollte, wenn commit fehlschlägt.Diese Konfiguration war an der nächsten / Update beteiligt FQDN EDL | Das Problem FQDN wird bis zum nächsten Auftreten behoben. | 8.0.14,8.1.5 |
PAN-100613 | 8.0.10-,8.1.2-8.1.4 | Es wurde ein Problem bei einer PA-5200 Serie firewall in einer aktiven/aktiven Konfiguration mit hoher Verfügbarkeit HA () mit einer virtuellen Draht-Subschnittstelle (vwire) behoben, bei der Sitzungseinrichtungspakete, die an Peerfirewalls gesendet wurden, als HA2/HA3-Rennbedingungen zurückgesendet wurden, was zu einer Zunahme von Paketdeskriptoren und Datenverkehr führte, die nicht mehr reagierten. | Datenverkehr kann aufgrund einer hohen Paketdeskriptorin zeitweise beeinträchtigt werden | Aufgrund der Race-Bedingung bei der Sitzungseinrichtung, Paketschleifen in HA2/HA3, die Packet Descriptor beeinflusst | Sitzungseinrichtung/Besitzersatz für First-Packet/First-Packet.Andernfalls verwenden Sie den Aktiv/Passiv-Modus | 8.1.5 |
PAN-106016 | 8.0.x,8.1.x | Es wurde ein Problem bei Serienfirewalls behoben, PA-800 bei dem eine Kernelspeicherspitze zum firewall Neustart führte. | Unerwarteter Systemneustart | Fehlendes Kernelspeicher | Keine | 8.0.14,8.1.5 |
PAN-106936 | 8.0.x,8.1.x | Behoben und Problem, bei dem PA-800 Serienfirewalls aufgrund eines Kernelfehlers zeitweise neu gestartet wurden. | Unerwarteter Systemneustart | Starker Einsatz von Serienfahrer verursachte Watch Dog Timeout | Keine | 8.0.14,8.1.5 |
PAN-104116 | 8.1.3,8.0.12 | Es wurde ein Problem behoben, bei dem ein hardware Paketpufferleck firewall zu leistungsablassenden Problemen führte. | Hardware Puffererschöpfung | In seltenen Fällen wird der hardware Paketpuffer nicht freigegeben. | Keine | 8.1.4,8.0.13
|
PAN-103921 | PA-3200 Serie/ 8.1.0-8.1.3 | Es wurde ein Problem bei einer PA 3200-Serie behoben, firewall bei dem die Datenebene aufgrund eines internen Pfadüberwachungsfehlers fehlschlagen konnte. | Interner Pfadmonitorfehler | Kommunikationsfehler in Verbindung zwischen MP und DP | nichts | 8.1.4 und 9.0.0 |
PAN-103442 | PA-3200 Serie/ 8.1.0-8.1.3 | Es wurde ein intermittierendes Problem in einer Serie behoben, PA-3200 firewall bei der die Weiterleitungsinformationsbasis ( FIB ) nicht korrekt aktualisiert wurde, was eine erfolgreiche Weiterleitung von ausgelagertem Datenverkehr verhinderte. | Ein ausgelagerter Datenverkehr wird nicht korrekt weitergeleitet. | FIB Eintrag in DP ist keine Aktualisierung ordnungsgemäß aufgrund von Programmierfehler | Deaktivieren der Sitzungsabladung | 8.1.4 und 9.0.0 |
PAN-98116 | PA-3000 Serie / 8.1.0-8.1.2 | Es wurde ein Problem behoben, bei dem die PA-3000 Serienfirewalls Dateideskriptoren in einem Datenebenenprozess ("pan_comm") während der Inhaltsinstallation (Apps und Bedrohung) sowie die Ausführung von FQDNRefresh-Auftrags, die dazu führten, dass das hardware Layer 7-Modul Anwendungen falsch identifizierte, übergeben. | App- ID (L7-Prozess) nicht mehr zu arbeiten DP Absturz | Dateideskriptorleck in pan_comm Prozess, der für den Commit in DP | Keine | 8.1.3 |
PAN-99212 | 8.0.10-8.0.11 , 8.1.0-8.1.2 | Es wurde ein Problem behoben, durch das die firewall falsch ARP verworfenen Pakete und der "flow_arp_throttle"-Zähler erhöht wurden. | ARP funktioniert nicht /Traffic Stop | ARP Paketdrosselungsfunktion zählt fälschlicherweise die Anzahl der überprüften Arp-Pakete und löscht arp-Pakete | nichts | 8.0.12 und 8.1.3 |
PAN-98397 | PA-3200 Serie/ 8.1.0-8.1.2 | Es wurde ein Problem bei Serienfirewalls behoben, PA-3200 bei dem der Offload-Prozessor keine Aktualisierungsmeldungen zum Löschen von Routen verarbeitete, die veraltete Routeneinträge hinterließen und dazu führten, dass Sitzungen während der Sitzungs-Offload-Phase nicht mehr reagierten. | Paketabsturz aufgrund von Routingtabellenproblemen im Offload-Chip | FIB in Offload-Chip (FE100) nach dem Löschen der Route nicht ordnungsgemäß aktualisiert | Deaktivieren der Sitzungsabladung | 8.1.3 |
PAN-94912 | PA-5200 Serie/ 8.0.0-8.0.9 8.1.0-8.1.1 | Es wurde ein Problem behoben, durch das PA-5200 Serien- und PA-3200 Serienfirewalls in einer aktiven/aktiven HA Hochverfügbarkeitskonfiguration ( ) Pakete in die falsche Richtung in einer virtuellen Drahtbereitstellung gesendet haben. | MAC Schlagen geschieht auf Neighouring-Schalter. Verkehrsstörungen können passieren | In ha Active-Active vwire Fall, wenn Gerät Pakete über ha3 Link weiterleitet. Die Headerinformationen sind in einigen Fällen korrekt festgelegt, was dazu führt, dass solche Pakete an den Peer zurückgesendet HA werden, anstatt lokal weiterzuleiten. | In einem der Fälle (00810651) wurde das Problem durch das Deaktivieren der Sitzungsabladung behoben. | 8.0.10 und 8.1.2 |
PAN-90890 | 8.0.0-8.0.9 8.1.0 | Es wurde ein Problem behoben, bei dem der ID Benutzer-Prozess ("useridd") nicht mehr reagierte, wenn ein virtuelles System, das mit mehr als einem ID Benutzer-Agenten verbunden war, mit NT LAN Aktiviertem Manager ( NTLM ) reagierte. | useridd Process Crash/ Useridd High File Descriptor/useridd Instabilität | Gedächtnis Korruption des Verbindungs Zustandes | konfigurieren Sie nur einen User-id-Agent mit NTLM aktiviert in jedem vsys. | 8.0.10 und 8.1.1 |
PAN-93839 | PAN-3000er- und PAN- 5000er-Serie / 8.0.0-8.0.9 8.1.0 | Es wurde ein Problem behoben, bei dem administratoren sich nicht bei der firewall aufgrund einer Nicht-Speicherbedingung anmelden konnten, die gelegentlich dazu führte, dass firewall Prozesse kontinuierlich neu gestartet wurden. ( PAN-90143 stellte eine anfängliche Speichererweiterung in PAN-OS 8.0.9 zur Verfügung, die die Häufigkeit dieser Ereignisse a-memory reduzierte.) | Geringer Speicher im MP Kernel führt zu Systeminstabilität, z. B. Administrator-Anmeldefehler / Nicht in MP | Linux-Kernel auf PANOS 8.x/9.x haben das Speicherleck, das im Hauptstream-Linux behoben wird. Portieren Sie den Patch aus dem Hauptstrom-Linux-Kernel. | Reboot System | 8.0.10 und 8.1.1 |
PAN-79989 | 8.0.0-8.0.8 | Es wurde ein Problem auf Firewalls mit benutzerdefinierten Signaturen behoben, bei denen niedrige Speicherbedingungen zeitweise zu Commit-oder Content-Installations Ausfällen mit folgendem Fehler führten: "Bedrohungs Datenbank-Handler failed". | Commit-Versagen | devsrvr verwenden Gabel () Systemaufruf, um einen Kindprozess (tdb_compile) zu spaßen, um Inhalte während der Übergabe zu kompilieren. Wenn der freie Speicher niedrig ist, kann dieser Gabel-Aufruf fehlschlagen, der die Commit-oder Content-Installation nicht verfehlen wird. | Reboot System | 8.1.0, 8.0.9 |
PAN-90143 | PA-5000 Serie/ 8.0.0-8.0.8 und 8.1.0 | Es wurde ein Problem behoben, bei dem administratoren sich zeitweise nicht bei der anmelden konnten, da sie Prozesse aufgrund einer nicht mehr speicherfreien Bedingung kontinuierlich firewall neu gestartet haben. | Systemstabilität/System nicht ansprechbar | Der Kernel-trackable-Speicher nimmt ständig ab. Eine Änderung der Kernel-Konfiguration durch Deaktivieren der Seiten Beweglichkeit könnte das Ablegen stoppen. | Reboot System | 8.1.1, 8.0.9 |
PAN-92268 | PA-7000,PA5200,PA3200 Serie/ 7.1.0-7.1.16 und 8.0.0-8.0.8 | Es wurde ein Problem bei PA-7000 PA-5200 Serien-, Serien- und Serienfirewalls behoben, PA-3200 bei dem eine oder mehrere Datenebenen den Datenverkehr nicht weiterleiteten, wenn Sie mehrere Betriebsbefehle (von einer beliebigen Benutzeroberfläche oder vom Verwaltungsserver) ausgeführt haben, firewall während Änderungen an Panorama Geräte- oder Netzwerkeinstellungen vorgenommen wurden oder während der Installation eines Inhaltsupdates. | Verkehrsrückgang | Miss-programing auf pancomm verwenden falsche Bypass-Warteschlange-ID | machen Sie eine weitere Übergabe, wenn dies geschieht. | 8.1.0 ,8.0.9 und 7.1.17, |
PAN-92564 | 8.0.0-8.0-8, 8.1.0 | Fixed ein Problem, bei dem ein kleiner Prozentsatz der beschreibbaren SFP Drittanbieter-Transceiver (nicht von Palo Alto Networksgekauft®) nicht mehr funktioniert oder andere Probleme erlebt hat, nachdem Sie die, firewall mit der die SFPs verbunden sind, mit einer PAN-OS [8.0 | 8.1]-Version aktualisiert haben. Mit diesem Update dürfen Sie das firewall PAN-OS Basisabbild [8.0 | 8.1] erst nach dem Herunterladen und Installieren des PAN-OS [8.0.9 | neu starten und installieren. 8.1.x]-Version. Weitere Details, Überlegungen zum Upgrade und Anweisungen zum Aktualisieren Ihrer Firewalls finden Sie in den PAN-OS 8.1-Upgradeinformationen. | Nicht unterstützte SFP Arbeitsunterbrechung | SDK wurde ein I2C-Lesefehler eingefügt. Dies veranlasste PANOS 8,0, (und Initial 8.1.0), diesen I2C-Busfahrer zu haben, um diesen logischen Fehler in den Lesefunktionen zu haben, der den Controller auf die Protokoll Sequenz des Geräts durcheinander brachte. | Verwenden unterstützt SFP | 8.1.1, 8.0.9 |
PAN-89718 | PA-7000serie / 8.0.0-8.0.7 und alle älteren Hauptlinien | Es wurde ein Problem behoben, bei dem Die Firewalls der PA-7000 Serie kontinuierlich neu gestartet wurden, da der "brdagent"-Prozess während des Startvorgangs aufgrund der Schnittstelleninitialisierung nicht mehr reagierte. HSCI | Firewall Neustarts | FPP brdagent ist gefesselt Initialisierung der wunderbaren PHYs und kann nicht auf Herzschläge reagieren. Als Ergebnis wird es von masterd getötet | Deaktivieren von HSCI Ports oder Entfernen des HSCI QSFP +-Moduls während des Neustarts | 8.1.0, 8.0.8 |
PAN-86882 | 8.0.0-8.0.7 und alle älteren Hauptlinien | Es wurde ein Problem behoben, durch das die firewall Datenebene nicht mehr reagierte, nachdem Sie verschachtelte Platzhalter ("*") mit "." oder "/" als Trennzeichen in den URLs einer benutzerdefinierten URL Kategorie ("Objekte > benutzerdefinierte Objekte > URL Kategorie") oder in der "Liste zulassen" eines URL Filterprofils verwendet hatten ("Objekte > Sicherheitsprofile > URL Filtern > URL- Filterprofil> > Überschreibt"). Mit dieser Korrektur erlauben die Firewalls nicht, in solchen Fällen verschachtelte Wildcards zu verwenden. Weitere Informationen finden Sie unter "NESTED WILDCARD(*) IN URLS MAY SEVERELY AFFECT PERFORMANCE". | DP Absturz und Neustart aufgrund einer benutzerdefinierten URL Suche | Fehlkonfiguration für benutzerdefinierte URL Kategorie mit verschachtelten Sternchen verursacht DP CPU-Hochlast Hinweis: Fix ist eine zusätzliche Konfigurations Prüfung, um zu verhindern | Verwenden Sie weniger Sternchen in der Konfiguration. Weitere Informationen finden Sie unter dem Link in der Beschreibung | 8.1.0, 8.0.8 |
PAN-83687 | 8.0.0-8.0.6 | Es wurde ein Problem bei Seriengeräten behoben, Panorama M- bei dem der "configd"-Prozess während eines Vorgangs "Commit > Commit and Push" nicht mehr reagierte, bei dem Panorama Konfigurationsänderungen an Collector Groups übertragen wurden. | konfigurationsd Crash
| Während des Commits werden Datenstrukturen unter Collector-Einstellungen zerstört. | Commit Panorama und Collector-Gruppen-Push nicht gleichzeitig. | 8.1.0, 8.0.7 |
PAN-85938 | 8.0.0-8.0.6 7.1.0-7.1.13 | Es wurde ein Problem behoben, durch PAN-OS das die IP Adress-zu-Benutzernamen-Zuordnungen von Endbenutzern entfernt wurden, die sich innerhalb einer Sekunde bei einem internen Gateway angemeldet haben, um sich von diesem GlobalProtect abzumelden. | Benutzer-IP-Mapping-Informationen werden nicht richtig generiert | Wenn das global protect Logout/login-Ereignis in derselben Sekunde aufgetreten ist, kann die Benutzer-ID in firewall die Reihenfolge dieser Ereignisse nicht bestimmen, da wir timestamp (zweite Granularität) verwenden, um sie zu unterscheiden. | Keine Umgehung verfügbar | 8.0.7, 7.1.14 |
PAN-82125 | PA-5000serie / 8.0.0-8.0.6 | Es wurde ein Problem behoben, bei dem die firewall Verwaltungsebene oder Steuerungsebene nach einem Upgrade auf 8.0 kontinuierlich neu gestartet PAN-OS wurde und die folgende Fehlermeldung angezeigt wurde: "rcu_sched festgestellte Staus bei CPUs/Tasks". | kontinuierlich MP / CP Neustart | i2c-Problem aufgrund des SFP Moduls, das den Bus hält und dazu führt, dass der i2c-Controller-Reset nicht beendet werden kann. | Verwenden unterstützt SFP | 8.1.0, 8.0.7 |
PAN-82273 | 8.0.0-8.0.5, 7.1.6-7.1.13 | Es wurde ein Problem behoben, bei dem das Blockieren von Proxysitzungen zum Erzwingen von policy Entschlüsselungsregeln zu einer Erschöpfung des Paketpuffers führte, die schließlich zu Paketverlusten führte. | Hardware Pufferlecksproblem, das sich auf jede Art von Datenverkehr auswirken könnte, der von DP | Auslaufen des Paketpuffers aufgrund RST von Paketen, die als Teil der policy -Erzwingung (verweigerter Datenverkehr) in Kombination mit Regeln ohne Entschlüsselung generiert wurden
| 1. in ssl No-Decrypt-Regel, in Entschlüsselungsprofil entfernen Aktionen aus "Keine Entschlüsselung" OR 2. Änderung der Verweigerungsregel policy in fallen |
8.0.6, 7.1.14 |
PAN-84545 | PA-800 serie / 8.0.0-8.0.5 | Es wurde ein Problem behoben, bei dem Firewalls der Serie bis zum Neustart nicht PA-800 mehr reagierten und die Firewalls keine Protokolle generierten, als sie nicht mehr reagierten, als sie den Neustart beendeten.
| System reagiert nicht. keine CLI /console/ping-Antwort manueller Neustart ist erforderlich, um sich von der Ausgabe zu erholen | PA-800 verwendet einen proprietären MDIO Kerneltreiber. Dieser Treiber hatte einen Fehler darin, der eine festgefahrene Bedingung verursachte.
| Keine Umgehung | 8.0.6 |
PAN-82830 | PA-5000 Serien und PA-3000 Serien / 8.0.0-8.0.5 | Es wurde ein Problem behoben, bei dem PA-5000 Serien- und Serienfirewalls, bei denen PA-3000 nicht mehr Arbeitsspeicher verfügbar war, kurzzeitig nicht mehr reagierten, die Verarbeitung des Datenverkehrs einstellte und die Generierung von Protokollen einstellte.
| Firewall "hängt", und es kann nicht über SSH / GUI zugegriffen werden. Es werden keine Protokolle geschrieben, und es gibt keine Mgmt-Konsolenausgabe. | Ein größerer Speicher Fußabdruck von 8,0 verursacht das Problem. | Herabstufung auf 7.1. x (Ausgabe nur bisher auf 8.0. x) |
8.0.6 |
PAN-81100 | Mit Low-Memory-Plattform wiePA-200 und M-100 vor allem.Andere Plattformen können das gleiche Problem passieren / 8.0.0-8.0.5 | Es wurde ein Problem auf dem firewall Panorama Verwaltungsserver behoben, bei dem ein Speicherverlust dazu führte, dass mehrere Vorgänge fehlschlagen, z. B. FQDN Commits, Aktualisierungen und Inhaltsaktualisierungen.
| Commit-Ausfall und/oder Speicherleck mit Fehler: Gabel () fehlgeschlagen! / Symptome sind Fehler beim Commit, GUI nicht reagieren, HA Konfigurationssynchronisierung stritten, MP Speicherleck, Daemon-Abstürze, hoch MP CPU . | In 8,0 wurden wir auf 64-Bit umgestellt. Daher wird die Verwendung von virt und res Memory leicht steigen.
| Bei M-100 sollte ein Upgrade auf 32 GB Speicher das Auftreten erheblich reduzieren. Für PA-200 oder andere Plattformen gibt es keine Problemumgehung, die nicht auf 7.1.x heruntergestuft wurde. |
8.0.6 |
PAN-78718 | PA-7000 Serie mit Panorama / 8.0.0-8.0.5 7.1.0-7.1.12, 7.0.0-7.0.18 | PA7050 Protokollierung stoppt / Logrcvr stürzt ab PA-7050 | LPC Das Speichern und Anzeigen neuer Protokolle aufgrund eines Speicherverlusts nach einem Verwaltungsserver, auf dem Panorama ein PAN-OS 8.0 oder neuer ausgeführt wird, wurde beendet | Das Problem tritt häufig auf einer FW 7K-Version mit 7.x auf, die von einem Panorama laufenden Rom (8.0) verwaltet wird. FW Fehler bei der Verarbeitung von GTP Berichtsdefinitionen, die Speicherverluste verursachen.
| Ab Panorama 8.0(oder neuer) CLI Konfiguration: Set deviceconfig setting management disable-predefined-reports [ gtp-spoofed-end-ip gtp-malicious- wildfire -submissions top-gtp-attackers top-gtp-victims gtp-users-visiting-malicious-url ] |
8.0.6, 7.1.13, 7.0.19 |
PAN-82095 | Alle in der Beschreibung aufgeführten Software-QoS-Plattform / 8.0.0 zu 8.0.5 7.1.0 zu 7.1.14 | Es wurde ein Problem bei PA-3000 PA-800 Serien-, PA-500 Serien-, , , , und -Serienfirewalls behoben, bei denen der PA-220 PA-200 VM- QoS-Durchsatz auf Schnittstellen fiel, die für die Verwendung eines QoS-Profils mit einem "Egress Max" auf 0 Mbit/s oder mehr als 1143 Mbit/s festgelegt sind ("Netzwerk- > Netzwerkprofile > QoS-Profil"). | QoS erzwingt maximale Bandbreite mit weniger Datenverkehr als konfiguriert | Codierungsfehler, der Max bis 1Gbps
| Senken Sie die QoS-Bandbreite unter 1143mbit/s, Herabstufung auf<=7.1.10 and/or=""></=7.1.10><=8.0.3></=8.0.3> |
8.0.6, 7.1.14 |
PAN-82275 | VM-serie / 8.0.0 auf 8.0.4 | VM sereis: Verkehr wird wegen flow_qos_pkt_timeout eingestellt | QoS-Paket ist nicht nach 82 Tagen aus der Warteschlange entfernt | Die QoS-Timer-Variable wurde nicht korrekt zurückgesetzt. | QoS-Config deaktivieren |
8.0.5 |
PAN-81590 | PA-5200 serie / 8,0,0 bis 8,0,4 | Interne Linkinstabilität zwischen DP und CE (Content Engine) | 5200 Plattformen betrifft. Das System kann auch dann weiter starten, wenn CE init fehlschlägt. Dies verursacht Probleme mit Layer7-Inspektion und HA Pfadmonitor, etc. controlplane-console-output.log zeigt folgenden Fehler an: nac0: Speicherkanäle init unvollständig | Es ist interne Verbindung Problem zwischen DP und CE .
| Verwenden Sie Software Aho und Dfa. > Debug-Datenebenen-Fpga-Set sw_aho ja > Debug-Dataplane-Fpga-Satz sw_dfa ja |
8.0.5 |
PAN-81990 | PA-5220,PA-5250 / 8.0.4 | Mehrere DP Neustarts durch all_pktproc | DP aufgrund der Größe des kleinen Speicherpools in 8.0.4. Nur auf PA-5220 und PA-5250 gesehen. Mit der gleichen Ursache, Andere Symptome wie GP ( ) Verbindungen fallen und GlobalProtect SSL Entschlüsselung Sekverkehr ausfalle könnte passieren | feste Speicher-Pool-Größe auf die betroffene Plattform
| Verwenden Sie andere Plattformen als PA-5220 oder PA-5250 . Oder Downgrade auf 8.0.3. |
8.0.5 |
PAN-78572 | M-serie / 8,0,0 bis 8,0,4 | Protokollierter hoher Speicher in M- Serie | Typische Symptome: -Verkehrs- und Bedrohungsprotokolle verzögert enden Panorama um 24 Stunden. -Oom Kernel-Absturz -commit-Fehler -Speicherzuweisungsfehler | Aufgrund der Indizierung von Nachrichten in Evtmgr Warteschlangen beginnen. Dies bewirkt, dass den Speicher-Aufbau Logd und Ergebnisse in Indizierungsprozess nicht könnend Start. | keine Abhilfe |
8.0.5 |
PAN-80445 | M-serie / 8,0,0 bis 8,0,3 | Gemeldetes Speicherleck in M- Serie | Reportd Speicher erhöht, bis Sie sind erschöpft. Träge Performance oder Verlust der Fähigkeit, verwalten kann. Gemeldeter Speicherverlust tritt nur bei M- Serien im Combo-Modus auf. | in Reportd Prozess behoben verschiedene Speicherleck
| Verwenden Sie Combo-Modus nicht. Verwenden Sie dedizierte Protokollsammler. |
8.0.4 |
PAN-74655 | Nicht plattformspezifisch / 7.0.x, 7.1.x | Hoch DP CPU mit hoher urlcache_lookup Bearbeitungszeit | Hohe DP Auslastung und allgemeine Verkehrsverlangsamung durch URL Filterung. Urlcache bezogene Funktion Prozesszeit steigt im "debug Dataplane pow Leistung" | Problem mit URL Cache, wenn der Cache mehr als 1 Million URLs im Cache erhält MP und der Geräteserver hohe CPUs verbraucht. DP auch verbraucht CPU hoch, um lokalen Cache zu suchen wird groß
| Löschen DP und MP Cache: >Clear url-cache alle >löschen url-database alle |
PAN-DB Cloud-Update hat die Korrektur im März/2017
|