Problemas críticos PAN-OS abordados en las versiones
560574
Created On 09/26/18 21:07 PM - Last Modified 02/26/24 02:09 AM
Symptom
Lista histórica de temas críticos abordada en PAN-OS los lanzamientos
Environment
Todo lo actual PAN-OS
Resolution
Última actualización el : July 27th , 2021
Esta lista se limita a cuestiones de gravedad crítico determinado por Palo Alto Networks y se proporciona sólo para fines informativos.
- Por favor, compruebe la información en las notas de la versión para ver la información más reciente sobre las versiones fijas.
- Por favor crear un caso con su proveedor de soporte para una investigación detallada si usted siente que ha encontrado uno de estos temas.
- Versiones de mantenimiento son el principal mecanismo para solucionar problemas.
- A la versión de mantenimiento se indica mediante el tercer dígito del número de versión de la versión (por ejemplo, el .2 en PAN-OS 10.0.2).
- asterisco(*) en Liberación fija se utiliza para la comprobación interna. por favor ignóralo.
| Errores | Plataforma afectada (si la hubiera) vErsión/Affected | Descripción (nota de la versión) | Impacto | Causa raíz | Solución | Versión fija |
| PAN-163800 | 10.1.0 | Se ha corregido un problema intermitente en el que la presencia de un perfil antisoftware espía en una regla de seguridad policy que coincidía con el tráfico provocaba que las DNS respuestas DNS estuvieran mal formadas en tránsito. | La respuesta DNS está dañada | El código de comprobación y modificación de TTL licencias tenía un error para controlar la DNS respuesta | Eliminar antisoftware espía que contiene dns security el perfil | 10.1.1* |
| PAN-146250 | 9.0.0-9.0.13 9.1.0-9.1.9 | Se ha corregido un problema por el que, en dos sesiones separadas pero simultáneas, se poseía y procesaba el mismo búfer de paquetes de software. | DP estruendo | Para el escenario inter-vsys, el mismo búfer de paquetes sw se podía procesar en dos diversas sesiones al mismo tiempo, que a su vez causan el problema. | Usar IPsec VPN en lugar de usar SSL | 9.0.14,9.1.10* |
| PAN-156017 | 9.1.0-9.1.6, 10.0.0-10.0.2 | Se ha corregido un problema por el que un búfer de informe de perfil de información de host ( HIP ) XML provocaba una pérdida de memoria | Memoria insuficiente en MP | HIP El búfer de informes no se liberó después de enviar el mensaje que causó una pérdida de memoria | Deshabilitar hip la redistribución | 9.1.7,10.0.3 |
| PAN-156225 | PA-3200series | Se ha corregido un error que se solucionó que el puerto HA1 B de PA-3200 la serie permaneciera abajo después de la actualización de 9.1.4 a 9.1.5 | HA1- B enlace hacia abajo | no pudo obtener un nodo sysd relacionado | Ninguno | 8.1.19,9.1.9,10.0.5* |
| PAN-136347 | 8.1.0-8.1.18, 9.1.0-9.1.8 , 10.0.0-10.0.4 | Se ha corregido un error que DNS provocaba que las conexiones de proxy TCP se procesaran incorrectamente, lo que provocaba que un proceso ('dnsproxy') dejara de responder. | dnspropyd crash / alto CPU | tcp_wait_timer en el demonio no se despejó correctamente | Solución alternativa es deshabilitar la TCP conexión a través de DNSproxy daemon, para evitar de forma segura cualquier problema de capacidad con las solicitudes TCP proxy. | 8.1.19, 9.1.9,10.0.5,* |
| PAN-150852 | 8.1.0-8.1.18 ,9.0.0-9.0.12 ,9.1.0-9.1.6 ,10.0.0-10.0.4 | Se ha corregido un problema con SMTP el que se producía cuando los nombres de archivo adjuntos eran más largos que el búfer asignado. Si el nombre de archivo era más largo que el búfer y se habilitó la inspección de la capa 7, se eliminó el archivo, lo que provocó que no se enviaran errores de sesión y un correo electrónico. | DP bloqueo / SMTP caída de paquetes | problema de control de búfer al procesar SMTP el nombre de archivo de la parte mult | Ninguno | 8.1.19 9.0.13 9.1.7 10.0.5 |
| PAN-143485 | 8.1.0-8.1.18, 9.0.0-9.0.12 , 9.1.0-9.1.6, 10.0.0-10.0.4 | Se ha corregido un problema de pérdida de memoria relacionado con un proceso (*devsrvr*). | pérdida de memoria del servidor de dispositivos | múltiples fugas URL (,confg,etc) son fijos | Reinicio de devsrvr antes de que se agote la memoria del dispositivo | 9.0.13,9.1.8,10.0.0 |
| PAN-156891 | 9.1.0-9.1.7 10.0.0-10.0.4 | Se ha corregido un problema que provocaba que algunos archivos zip no se descargaran y se mostrara el siguiente mensaje de error: 'resources-unavailable'. | La función L7 no funciona al pulsar el error 'recurso no disponible' | El búfer del decodificador pasaría a través de un gran número de bucles en el procesamiento L7. Alcanza el límite máximo. | "set deviceconfig setting session resource-limit-behavior bypass" ayuda a omitir las sesiones que llegan al error. debug dataplane fpga set sw_aho yes debug dataplane fpga set sw_dfa yes | 9.1.8 10.0.5 |
| PAN-145417 | 9.0.0-9.0.12 | Se agregaron comandos de depuración para solucionar un problema en el que la firewall conexión a Data Lake debido al mensaje protocolo de estado del certificado en línea ( ) que Cortex falta el valor OCSP 'nextUpdate' en la OCSP respuesta. | pérdida de memoria sslmgr causó un problema en OCSP | Las consultas con errores OCSP se almacenan en caché durante mucho tiempo. Afecta al comportamiento normal de sslmgr y su uso de memoria sube | Reiniciar el proceso sslmgr | 9.0.13,9.1.8,10.0.4 |
| PAN-149297 | 9.1.0-9.1.6 10.0.0-10.0.1 | Se ha corregido un problema de desbordamiento de búfer en el servidor de administración, que obligaba al administrador a cerrar la sesión en la interfaz web. | bloqueo del servidor de administración | Faltan llamadas cercanas para un dbs interno | Evite realizar varias confirmaciones de validación, commitAlls | 9.1.7,10.0.2 |
| PAN-153673 | Técnicamente toda FW la plataforma puede verse afectada. pero solo recibimos informes de PA5200,PA7000series | Se ha corregido un problema que provocaba que los registros de tráfico no se mostraran debido a un tiempo de espera de subproceso que provocaba que la lectura de los registros del plano de datos se ralentizara. | El registro se detiene intermitentemente | el subproceso principal estaba ocupado haciendo la antigüedad de la caché hacia fuera, causar la lectura de los registros desde el enlace de la DP ralentización en gran medida. | Ninguno | 8.1.18, 9.0.11, 9.1.6, 10.0.2 |
| PAN-152106 | 8.1.14-8.1.16 9.0.8-9.0.10 9.1.0-9.1.5 10.0.0-10.0.1 | Se ha corregido un error que provocaba que genindex.sh el uso del plano de administración CPU permaneciera alto durante un período de tiempo más largo del esperado. | Alta MP CPU | El script busca directorios de registro de forma intensiva | Configure los días máximos para los tipos de registro para reducir los días de retención para reducir la cantidad de registros a indexar. | 8.1.17, 9.0.11, 9.1.6,10.0.2 |
| PAN-154181 | Panorama 8.1.16 | Se ha corregido un error que se solucionó un error que en Panorama el que, activado, el cambio de contexto a la interfaz web de una ejecución administrada firewall PAN-OS 8.1.16 no funcionaba. | El cambio de contexto no puede | A corrección de errores impidió que el cambio de contexto funcionara | Ninguno | 8.1.17 |
| PAN-151197 | 9.1.3 10.0.0 | Se ha corregido un error que se solucionaba cuando se reiniciaba un proceso (*authd*) cuando un administrador se autenticaba en la firewall cuenta con una cuenta de Active Directory ( AD ). Este problema se produjo cuando LDAP se configuró con FQDN , se utilizó en lugar de una dirección de administración DHCP IP estática, y utilizó la interfaz de administración para conectarse al LDAP servidor. | Accidente de autenticación | El caso límite que DHCP asignó mgmt IP | Utilice la ruta de servicio para LDAP | 9.0.10, 9.1.4, 10.0.1 |
| PAN-141221 | 9.0.0-9.0.9 9.1.0-9.1.2 | Se ha corregido un error que provocaba que no se ejecutara una operación de confirmación o actualización de contenido con un error en el plano de datos, lo que provocaba daños en la caché del plano de policy datos. | DP estruendo | - Cuando DP se produce un error de análisis de fase1 en la confirmación de configuración, la señal de anulación no se limpió correctamente, por lo que la memoria caché está policy dañada | Asegúrese de que la configuración no se equivoque en DP | 9.0.10, 9.1.3 |
| PAN-144598 | 8.1.0-8.1.15 9.0.0-9.0.9 9.1.0-9.1.2 | Se ha corregido un error que afectaba a GlobalProtect la firewall | GP fallo de conexión | La URL estructura de datos no se libera durante el acceso sin VPN app cliente. | No | 8.1.16, 9.0.10, 9.1.3 |
| PAN-150172 | 8.1.15,9.0.9,9.1.3 | Se ha corregido un problema que provocaba que los procesos del plano de datos se reiniciaran al intentar acceder a sitios web que tenían habilitado el atributo 'NotBefore' menor o igual que Unix Epoch Time en el certificado de servidor con proxy de reenvío habilitado. | DP reiniciar al analizar el certificado | El valor 'NotBefore' no se ha inicializado correctamente | 1) Importar el emisor del servidor CA a la firewall y marcarlo de confianza, OR 2) Deshabilitar el descifrado a los servidores con NotBefore <= 1970/1/1 00:00:00 UTC Esta no es una solución práctica | 8.1.15-h3, 8.1.16, 9.0.9-h1, 9.0.10, 9.1.3-h1, 9.1.4, |
| PAN-137387 | 8.1.0-8.1.14 9.0.0-9.0.8 9.1.0-9.1.2 | Se ha corregido un error que URL provocaba que el filtrado usara la IP dirección en lugar del nombre de host, lo que URL provocaba una categorización incorrecta. | El problema en el manejo de encabezados host provoca URL la función de filtro | manejo de errores cuando el encabezado del host no viene en el primer paquete | Habilite el marco jumbo o use custom-url-category o custom-appid para detectar la cadena "/webapp/wcs/stores/". | 8.1.15, 9.0.9, 9.1.3 |
| PAN-148068 | 8.1.0-8.1.14 9.0.0-9.0.8 9.1.0-9.1.2 | Se ha corregido un problema que permitía SSL bloquear las conexiones si permitía el descifrado con la opción de bloquear sesiones que tenían certificados caducados. Este problema incluía servidores que enviaba una entidad de certificación AddTrust caducada ( CA ) en la cadena de certificados. | SSL descifrado no llega a algún sitio | proceso de SSL verificación de certificados fijos | Deshabilite la comprobación de caducidad del certificado. (si no se acepta ningún control de caducidad) | 8.1.15, 9.0.9, 9.1.3 |
| PAN-103290 | SÓLO PA3200series 8.1.14 | Se ha corregido un error que impedía registrar los datos de diagnóstico del firewall plano de datos en dp-monitor.log después de unas horas de tiempo de actividad. | DP estruendo | día-uno problema accidente al entregar | Sin solución | 8.1.15 |
| PAN-139587 | PA5200,PA7000series 8.1.0-8.1.14 9.0.0-9.0.8 9.1.0-9.1.4 | Se ha corregido un problema que se producía un error en el que se observaba una utilización alta y continua CPU en los planes de datos después de que se produjera la reclavización de ipsec encapsulando la carga útil de seguridad ( ESP ) para varios túneles. | CPUDescriptor de paquetes alto / alto | ESP problema de reintroducción | Después de la conmutación por error, reinicie el error FW | 8.1.15, 9.0.9 , 9.1.4 |
| PAN-144479 | 8.1.14 solamente | Se ha corregido un error que se produce cuando se SNMP consulta a los objetos de los valores HOST-RESOURCES-MIB incorrectos devueltos. | snmp para lo específico MIB no funciona | regresión de una corrección snmp | Sin solución | 8.1.15 |
| PAN-136701 | PA7000series 9.0.0-9.0.7 9.1.0-9.1.1 | Se han añadido los siguientes CLI comandos para abordar un problema en el que los paquetes para las nuevas sesiones se descartan al controlar las sesiones de predicción: - 'establecer la sesión hwpredict disable yes' - 'show session hwpredict status' | caída de paquetes en la coincidencia de sesiones de predicción | añadido comando de solución alternativa | para deshabilitar la búsqueda de predicción FPP-HW y el FPP-SW uso. Esto se controla mediante un comando operativo. | 9.0.8, 9.1.2 |
| PAN-121626 | PA3200series | Se ha corregido un problema intermitente en el que los firewalls descartaban paquetes, lo que provocaba problemas como latencia de tráfico, transferencias lentas de archivos, rendimiento reducido, errores de supervisión de rutas de acceso internos y errores de la aplicación. | Problema de tráfico | Problema en el tiempo de memoria | Sin solución | 8.1.14,9.0.7,9.1.2 |
| PAN-125534 | PA5200,PA7000series 8.1.0-8.1.13 9.0.0-9.0.7 | Se ha corregido un error que se produce cuando los firewalls experimentan un uso elevado del descriptor de paquetes (en chip) durante las cargas en la nube o el WildFire WF-500 dispositivo. | Las WF cargas excesivas causaron un alto descriptor de paquetes | Cargas WF excesivas suben los recursos de la plataforma. Limitar el número máximo de WF subidas pendientes | Configure la configuración de > dispositivo > WildFire > configuración general > límites de tamaño de archivo para especificar los siguientes valores - pe 8 MB | 8.1.14,9.0.8,9.1.2 |
| PAN-135260 | PA7000series sólo 8.1.12 solamente | Se ha corregido un problema intermitente en el que el proceso del plan de datos (*all_pktproc_X*) en una tarjeta de procesamiento de red ( ) se reiniciaba al procesar el NPC tráfico del túnel IPSec. | DP estruendo | Bloqueo durante la búsqueda de flujo Añadido un código de validación | Sin solución | 8.1.13,9.0.7,9.1.2 |
| PAN-136820 | 8.1.0-8.1.13 | Se ha corregido un error que producía una conmutación por error de alta disponibilidad ( HA ) después de que se firewall notificara el siguiente mensaje de error en el registro **System**: 'Dataplane down: controlplane exit failure'. | DP crash / down Monitor de trayecto interno falla | NFS problema de transferencia en DP las opciones de ajuste NFS | Sin solución | 8.1.14,9.0.0 |
| PAN-102096 | PA7000series 8.1.0-8.1.12 | Se ha corregido un problema que provocaba que el primer búfer de paquetes del procesador de paquetes no se asignara con la alineación adecuada, lo que causaba daños en la memoria. | fallo del monitor de trayecto interno, FPP bloqueo | Posible corrupción en la memoria FPP | Sin solución | 8.1.13 |
| PAN-133440 | PA5200,PA7000series 8.1.8-8.1.12 9.0,9.1 | Se ha corregido un error que provocaba problemas de uso y rendimiento de los planes de datos firewall elevados. | búfer de paquetes alto CPU / alto | problema de reensamblaje de fragmentos | Considere la posibilidad de bloquear fragmentos a través de la protección de zona. | 8.1.13,9.0.7,9.1.2 |
| PAN-131993 | Panorama serie 8.1.11-8.1.12 9.0,9.1 | Se ha corregido un problema que provocaba que un proceso (*reportado*) se bloqueara al ejecutar una consulta de registro. | accidente reportado | doublefree mientras intenta limpiar al manejar una consulta de registro | Permita que la consulta se ejecute hasta su finalización antes de cerrar la pestaña/navegador | 8.1.13,9.0.7,9.1.2 |
| PAN-115875 | LFC(PA7000) 9.0.0-9.0.5 | Se ha corregido un error que se registraba un PA- par de 7080b HA cuando el tráfico de paquetes de gran tamaño afectaba a los puertos del panel frontal de la tarjeta de reenvío de registros ( LFC ). | LFC Reiniciar | LFC error de manejo de errores del puerto frontal al recibir tramas jumbo | Evite conectar los puertos del panel frontal a redes con tramas gigantes | 9.0.6 y 9.1.0 |
| PAN-123667 | 9.0.0-9.0.5 | Se ha corregido un problema que provocaba que el proceso "snmpd" se bloqueara al sondear contadores globales. | snmpd crash y OOM (fuera de la memoria) en kernel | pérdida de memoria de snmpd al acceder a OID de contador global | La solución alternativa para evitar este bloqueo es evitar el sondeo de OID en la tabla de contadores globales. | 9.0.6 y 9.1.0 |
| PAN-123322 | PA3200,PA5200,PA7000series 8.1.0-8.1.11 9.0.0-9.0.5 | " PA-3200 Firewalls de PA-5200 serie, serie y serie que ejecutan PA-7000 " " PAN-OS <8.1.11 |="" 9.0.5="">solamente") Hay un problema intermitente donde un proceso ("all_pktproc") deja de responder debido a una entrada de consulta de trabajo ( WQE ) corrupción causada por sesiones secundarias duplicadas.</8.1.11> | accidente del avión de datos | Accidente al entregar el paquete en la sesión de predicción | Ninguno | 8.1.12,9.0.6 y 9.1.0 |
| PAN-128269 | PA5200 series sólo 8.1.10-8.1.11 9.0.0-9.0.5 | " PA-5250 , , y PA-5260 PA-5280 firewalls con cables de 100 GB AOC solamente") Cuando usted actualiza al primer par en una configuración de alta disponibilidad ( HA ) a "[ PAN-OS 8.1.9-h4 o un posterior] / [una PAN-OS versión 9.0]", el puerto de la interconexión del chasis de alta velocidad ( HSCI ) no sube debido a una FEC discordancía hasta después de que usted termine de actualizar el segundo par. | HSCI interfaz hacia abajo | La configuración interna del chip afectó al AOC módulo | Consulte Techsupport para el procedimiento de actualización, de lo contrario evite las versiones | 8.1.12,9.0.6 y 9.1.0 |
| PAN-124481 | 9.0.0-9.0.4 | Se ha corregido un error que impedía que el plan de datos dejara de responder cuando SMTP se usaban sesiones. | DP fallo del monitor de trayecto interno/ bloqueo del monitor de trayecto interno | MIME límite se calcula erróneamente | app-Reemplazar el archivo SMTP | 9.0.5 |
| PAN-126547 | 8.1.0-8.1.10 | Se ha corregido un error que impedía que un proceso ("configd") dejara de responder cuando se desencadenaba una XML API llamada con "type=config&action=get" durante una confirmación. | configuración de bloqueo | Null no se estableció en un puntero cuando se libera el nodo xml | No ejecute xml api para obtener xpath predefinido | 8.1.11 y 9.0.5 |
| PAN-120662 | PA-7000 series solamente XM (las tarjetas no se ven afectadas) | ["PA-7000 Firewalls de serie que utilizan PA-7000 solo tarjetas -20G"] NPC Se ha corregido un problema intermitente en el que una condición fuera de memoria OOM () provocaba que el plano de datos o la supervisión de rutas internas dejaran de responder. | DP fallo del monitor de trayecto interno/ bloqueo del monitor de trayecto interno | Memoria insuficiente se asignó al kernel de Linux | Sin solución | 8.1.11 y 9.0.4 |
| PAN-119862 | PA5050 sólo 8.1.0-8.1.11 | Se ha corregido un problema intermitente en el que una condición fuera de memoria OOM () provocaba que el plano de datos o la supervisión de la ruta interna dejaran de responder. Con esta corrección, la capacidad de la sesión se reduce en 400.000. | DP fallo del monitor de trayecto interno/ bloqueo del monitor de trayecto interno | Sin memoria en DP0 | Sin solución | 8.1.11 |
| PAN-115695 | 8.0.x 8.1.0-8.1.9 9.0.0-9.0.3 | Se ha corregido un problema intermitente en el que se recibía un gran número de paquetes antes de que se completaran las confirmaciones, lo que agotaba las entradas de cola de descriptores y resultaba en una alta latencia durante las transferencias de datos, aunque CPU el uso parecía normal | Descriptor de paquetes alto y búfer de paquetes | Como resultado, una o unas pocas sesiones agresivas TCP pueden tomar todas las entradas de la cola del descriptor debido a los paquetes de ack | sesión clara causando el problema | 8.1.10 y 9.0.4 |
| PAN-116613 | 8.0.x 8.1.0-8.1.8 9.0.0-9.0.3 | Se ha corregido un problema en una VM- serie firewall implementada en Microsoft Azure en la que los paquetes se dejaban caer silenciosamente debido a un error del kernel | caída de tráfico cuando el tráfico de ráfaga | un error del kernel al procesar el tráfico de destonación en Azure | Sin solución | 8.1.9 y 9.0.4 |
| PAN-120194 | 8.1.5-8.1.9 9.0.0-9.0.3 | ("Virtual y M- Solo electrodomésticos de serie Panorama y recopiladores de registros") Se ha corregido un problema en el que los índices de Elasticsearch ( ES ) cerrados seguían recibiendo y re-colando registros, lo que dio lugar a un uso CPU elevado. | Error de ingesta de registros y alta CPU | índice mensual cerrado inesperadamente | Póngase en contacto con Techsupport | 8.1.10 y 9.0.4 |
| PAN-118407 | 8.1.0-8.1.8 9.0.0-9.0.3 | Se ha corregido un error que provocaba que se reiniciara un error de supervisión de la ruta interna debido a una fuga de búfer firewall | DP reiniciar debido a la falla interna de monitoreo de la trayectoria del paquete | desorden de la agrupación de búferes | Sin solución | 8.1.9 y 9.0.4 |
| PAN-117720 | 8.1.0-8.1.9 9.0.0-9.0.3 | ("GlobalProtect Solo entornos sin VPN cliente") Se ha corregido un error que provocaba que un proceso ("all_pktproc") dejara de responder y provocara que se firewall reiniciara inesperadamente al procesar el tráfico sin GlobalProtect VPN cliente. Para aprovechar esta corrección, primero debe actualizar ("Dispositivos> Actualizacionesdinámicas") a GlobalProtect la versión de contenido sin cliente VPN 79 o una versión posterior. | DP estruendo | excepción al manejar el paquete sin cliente VPN con un paquete grande | cambiar clientlessVPN a GP ( ) o bajar a SSLVPN 8.1.8 o más | 8.1.10 y 9.0.4 |
| PAN-113971 | 8.1.0-8.1.8 9.0.0-9.0.3 | ("PA-7000 Solo firewalls de serie") Se ha corregido un error en el que el vínculo Interconexión chasis de alta velocidad ( HSCI ) se inflamaba después de reiniciar el firewall archivo . | HSCI solapa | Errores de señal en SMC | 8.1.9 y 9.0.4 | |
| PAN-111708 | 8.1.0-8.1.8 9.0.0-9.0.2 | ("PA-3200 Solo firewalls de serie") Se ha corregido un problema de software raro que provocaba que el plano de datos se reiniciara inesperadamente. Para aprovechar esta corrección, debe ejecutar el comando "debug dataplane set pow no-desched yes" CLI (aumenta CPU la utilización). | DP estruendo | Problema de deschedule sobre CPU utilizado en PA3200 | Sin solución | 8.1.9 y 9.0.3 |
| PAN-117729 | 8.1.8 solamente | Se ha corregido un error que se firewall mostraba incorrectamente las advertencias de dependencia de la aplicación ("Directivas > seguridad") después de iniciar una confirmación | La dependencia de la aplicación aparece en la confirmación | debido a la solución incompleta de PAN-98386 | Sin solución | 8.1.9 |
| PAN-107005 | Serie PA3200 sólo 8.1.0-8.1.4 9.0.0-9.0.2 | Se ha corregido un problema en los PA-3200 firewalls de la serie en los que los paquetes caían cuando VSS- un dispositivo externo anexaba un remolque Ethernet de supervisión. | L4checksum falla para VSS monitorear el remolque y el paquete cae | El procesador de descarga de red cae el paquete debido a su validación de chequeo L4 | No hay solución alternativa. Actualizar PANOS | 8.1.5 y 9.0.3 |
| PAN-112814 | 8.1.6-8.1.7 y 9.0.0-9.0.1 | Se ha corregido un error que provocaba H que las llamadas basadas en .323 perdieran audio porque la sesión H .245 pronosticada no se convertía en estado activo, lo que provocaba que firewall el .245 cayera el tráfico H .245. | predecir el fracaso de la sesión | la sesión de predicción no puede crear cuando la sesión de predicción es creada por el flujo S2C y su origen NATed | No utilice Fuente NAT | 8.1.8 y 9.0.2 |
| PAN-103023 | 8.0.14-8.1.15 8.1.2-8.1.6 | Se ha corregido un problema intermitente en el que una instalación de contenido (contenido) provocaba un firewall error de configuración y dejaba de firewall responder. | FQDN los objetos se resuelven como 0.0.0.0. y empujado a DP . que causa problema de tráfico | El trabajo de instalación de contenido implica una configuración incorrecta por error | Confirme la fuerza o obligue a otra FQDN actualización. | 8.0.16 ,8.1.7 y 9.0.0 |
| PAN-108241 | PA-3200 serie/ 8.1.0-8.1.5 | Se ha corregido un problema en una PA-3200 serie en la que varios procesos de plano de datos firewall (all_pktproc, flow_mgmt, flow_ctrl y pktlog_forwarding) dejaban de responder cuando estaba sobrecargado de tráfico. | DP estruendo | proceso flujo ager doble libre | Habilitar software aho/dfa y pscan puede reducir en gran medida la probabilidad de ver el problema. | 8.1.6 y 9.0.0 |
| PAN-109594 | 8.0.14, 8.1.5 solamente | Se ha corregido un problema que provocaba que el plan de datos se reiniciara cuando se producía un evento de reintroducción IPsec y provocaba un error del proceso del túnel (tund) cuando uno (pero no ambos) HA par está ejecutando PAN-OS 8.0.14 o PAN-OS 8.1.5. | DP reinicio debido a la caída de la tirada durante la discordancía de la versión en HA los pares durante el proceso de actualización | DP reiniciar debido al bloqueo de la escayen que es causado por ike rekey en HA el par | Antes de actualizar HA los pares, ajuste temporalmente IKE las duraciones a más de lo predeterminado para asegurarse de que el evento de reintroducción no se produce durante el proceso de actualización. También puede romper HA entre pares y actualizar individualmente como independiente. | 8.0.15, 8.1.6 |
| PAN-108785 | Serie PA3200/ 8.1.0-8.1.5 | Se ha corregido un problema intermitente en una firewall HA configuración activa/pasiva en la que una prueba de ping dejaba de responder en los Ethernetes 1/1, 1/2 y 1/4 debido a los errores de entrada en el puerto del Switch correspondiente después de una HA conmutación por error. | eth1/1,2,4 corrompe el paquete en la transmisión después de HA la Conmutación por falla | pasos de inicialización de la interfaz después de HA la conmutación por error llamada instrucciones innecesarias | cierre manualmente/no cierre las interfaces | 8.1.6 y 9.0.0 |
| PAN-107791 | 8.1.4 | Se ha corregido un error que se produce después de actualizar de PAN-OS 8.1.3 a 8.1.4 se produce un error en la CLI autenticación de administrador de dos factores. | 2FA falla | error de manejo de enchufe para 2FA | ninguno | 8.1.5 y 9.0.0 |
| PAN-107365 | 8.1.4 | Se ha corregido un problema en Panorama M- series y dispositivos virtuales en los que, después de realizar un cambio en una plantilla e intentar insertar en un dispositivo de destino, el dispositivo no aparecía en la lista Selección de ámbito de inserción ("Confirmar > Insertar en dispositivos > Editar selecciones > Grupos de dispositivos"). | No se puede especificar el dispositivo en la plantilla | Excepción en el código php | ninguno | 8.1.5 |
| PAN-107271 | 8.1.4 | Se ha corregido un problema en una PA-3200 serie firewall que PAN-OS ejecutaba 8.1.4 en una HA configuración donde el puerto HA1- B (backup) no subió como se esperaba. | El puerto HA1B es inutilizable | solución adicional de PAN-89402 | utilizar otra interfaz para HA1 | 8.1.5 |
| PAN-100244 | 8.0.x,8.1.x | Se ha corregido un problema que provocaba un error en la confirmación o confirmación de la validación seguido de un evento no confirmado por el usuario (como una FQDN actualización, una actualización de lista dinámica externa o una actualización antivirus) provocaba un cambio inesperado en la configuración que provocaba que el firewall tráfico se quitara. | caída del tráfico debido a una aplicación incorrecta policy | last-candidatecfg.xml se ha cambiado lo que no debería ocurrir cuando se produce un error en la confirmación.Esa configuración estuvo involucrada en la siguiente FQDN / EDL actualización | La realización de la actualización o confirmación manual FQDN parece resolver el problema hasta la siguiente aparición. | 8.0.14,8.1.5 |
| PAN-100613 | 8.0.10-,8.1.2-8.1.4 | Se ha corregido un problema en una PA-5200 serie en una configuración firewall activa/activa de alta disponibilidad HA ( ) con una subinterfaz de alambre virtual (vwire) donde los paquetes de configuración de sesión enviados a firewalls del mismo nivel se enviaban de vuelta como condiciones de carrera HA2/HA3, lo que provocaba un aumento en los descriptores de paquetes y el tráfico para dejar de responder. | tráfico puede verse afectado intermitentemente debido al descriptor de paquetes alto | Debido a la condición de carrera en la configuración de la sesión, el loop de paquetes en HA2/HA3 que afecta al descriptor del paquete | Configuración de sesión/propietario establecido para el primer paquete/primer paquete.De lo contrario, utilice el modo Activo/Pasivo | 8.1.5 |
| PAN-106016 | 8.0.x,8.1.x | Se ha corregido un problema en los PA-800 firewalls de la serie en los que un pico de memoria del kernel provocaba el firewall reinicio. | reinicio inesperado del sistema | falta de memoria del núcleo | ninguno | 8.0.14,8.1.5 |
| PAN-106936 | 8.0.x,8.1.x | Se corrigió y se emitió un problema en el que PA-800 los firewalls de la serie se reiniciaban intermitentemente debido a un error del kernel. | reinicio inesperado del sistema | uso pesado del controlador de serie causó el tiempo de espera del perro reloj | ninguno | 8.0.14,8.1.5 |
| PAN-104116 | 8.1.3,8.0.12 | Se ha corregido un error que provocaba que el hardware firewall rendimiento se degradara. | Hardware agotamiento de los búferes de paquetes | En raras condiciones, el hardware búfer de paquetes no se libera | ninguno | 8.1.4,8.0.13
|
| PAN-103921 | PA-3200 serie/ 8.1.0-8.1.3 | Se ha corregido un error en una PA serie 3200 firewall en la que el plano de datos fallaba debido a un error de supervisión de la ruta interna. | Error del monitor de ruta interna | Fallo de comunicación en el vínculo entre MP y DP | Ninguno | 8.1.4 y 9.0.0 |
| PAN-103442 | PA-3200 serie/ 8.1.0-8.1.3 | Se ha corregido un problema intermitente en una PA-3200 serie en la que la base de información de firewall reenvío ( FIB ) no se actualizaba correctamente, lo que impedía el reenvío correcto del tráfico descargado. | Algunos tráfico descargados no se reenvían correctamente. | FIB entrada DP en no es ninguna actualización correctamente debido a error de programación | Deshabilitar la descarga de sesión | 8.1.4 y 9.0.0 |
| PAN-98116 | PA-3000 serie / 8.1.0-8.1.2 | Se ha corregido un error que provocaba que los firewalls de la PA-3000 serie pasaran descriptores de archivo en un proceso de plano de datos ("pan_comm") durante la instalación de contenido (aplicaciones y amenazas), así como la ejecución del trabajo FQDNRefresh, lo que provocaba que el hardware motor de capa 7 identificara incorrectamente las aplicaciones. | App- ID (proceso L7) dejar de funcionar DP estruendo | Fuga de descriptor de archivo en pan_comm proceso a cargo de la confirmación en DP | ninguno | 8.1.3 |
| PAN-99212 | 8.0.10-8.0.11 , 8.1.0-8.1.2 | Se ha corregido un error que implicaba que los firewall paquetes caídos incorrectamente ARP y aumentaba el contador "flow_arp_throttle". | ARP no funciona /Traffic stop | ARP característica de limitación de paquetes cuenta erróneamente el número de arp inspeccionados y cae paquetes arp | Ninguno | 8.0.12 y 8.1.3 |
| PAN-98397 | PA-3200 serie/ 8.1.0-8.1.2 | Se ha corregido un problema en PA-3200 los firewalls de serie en los que el procesador de descarga no procesaba los mensajes de actualización de eliminación de rutas, lo que dejaba atrás las entradas de ruta obsoletas y provocaba que las sesiones no respondieran durante la fase de descarga de la sesión. | Caída de paquetes debido al problema de la tabla de ruteo en el chip de descarga | FIB en el chip de descarga(FE100) no se ha actualizado correctamente después de la eliminación de la ruta | Deshabilitar la descarga de sesión | 8.1.3 |
| PAN-94912 | PA-5200 serie/ 8.0.0-8.0.9 8.1.0-8.1.1 | Se ha corregido un error que implicaba que los firewalls de PA-5200 serie y serie en una configuración PA-3200 activa/activa de alta disponibilidad ( HA ) enviaba paquetes en la dirección incorrecta en una implementación de cable virtual. | MAC aleteo suceden en el interruptor de neighouring. La interrupción del tráfico puede ocurrir | En el caso ha Active-Active vwire, cuando el dispositivo reenvía los paquetes a través del link ha3. la información del encabezado se fija correctamente en algunos casos, causando que tales paquetes se reenvíen de nuevo al HA par, en lugar de reenviar localmente. | En uno de los casos (00810651), deshabilitar la descarga de sesión ha resuelto el problema. | 8.0.10 y 8.1.2 |
| PAN-90890 | 8.0.0-8.0.9 8.1.0 | Se ha corregido un error que impedía que el proceso de usuario ID ("useridd") dejara de responder cuando un sistema virtual conectado a más de un agente de ID usuario con Manager ( ) NT LAN NTLM habilitado. | proceso de ID a/Crash/ Descriptor de ID de archivo alto/ID de usuario Inestabilidad | memoria corrupción de estado de conexión | configurar sólo un user-id-agent con NTLM habilitado en cada vsys. | 8.0.10 y 8.1.1 |
| PAN-93839 | PAN-3000series y PAN- 5000series / 8.0.0-8.0.9 8.1.0 | Se ha corregido un error que provocaba que los administradores no iniciaran sesión en la firewall condición debido a una condición fuera de memoria que provocaba que los firewall procesos se reiniciaran continuamente. ( PAN-90143 proporcionó una mejora de memoria inicial en PAN-OS 8.0.9 que redujo la frecuencia de estos eventos fuera de memoria.) | la memoria baja en MP el kernel lidera la inestabilidad del sistema, como el error de inicio de sesión de administrador / Fuera de la memoria en MP | Los kernels de Linux en PANOS 8.x/9.x tienen la pérdida de memoria que se corrige en la secuencia principal linux. Portar el parche desde el núcleo de Linux de la corriente principal. | Sistema de reinicio | 8.0.10 y 8.1.1 |
| PAN-79989 | 8.0.0-8.0.8 | Se ha corregido un problema en los cortafuegos con firmas personalizadas configuradas donde las condiciones de memoria baja provocaban errores de confirmación o de instalación de contenido con el siguiente error: "error del controlador de base de datos de amenazas". | error de confirmación | devsrvr use la llamada del sistema fork () para generar un proceso secundario (tdb_compile) para compilar contenido durante commit. Cuando la memoria libre es baja, esta llamada de bifurcación () puede fallar, que fallará el commit o la instalación del contenido. | sistema de reinicio | 8.1.0, 8.0.9 |
| PAN-90143 | PA-5000 serie/ 8.0.0-8.0.8 y 8.1.0 | Se ha corregido un error que implicaba que los administradores no iniciaran sesión de forma intermitente en el firewall proceso porque reiniciaba los procesos de forma intermitente continuamente debido a una condición fuera de memoria. | sistema de estabilidad/sistema insensible | La memoria rastreable del kernel está disminuyendo constantemente. Cambiar la configuración del kernel desactivando la movilidad de la página podría detener la caída. | sistema de reinicio | 8.1.1, 8.0.9 |
| PAN-92268 | PA-7000,SERIE PA5200,PA3200/ 7.1.0-7.1.16 y 8.0.0-8.0.8 | Se ha corregido un problema en PA-7000 PA-5200 los firewalls series, series y PA-3200 series en los que uno o varios planes de datos no pasaban el tráfico cuando ejecutaba varios comandos operativos (desde cualquier interfaz de firewall usuario o desde el servidor de Panorama administración) mientras confirmaba cambios en la configuración del dispositivo o de la red o al instalar una actualización de contenido. | Caída del tráfico | Miss-programación en Pancomm usar ID de cola de bypass incorrecto | hacer otro commit si esto sucede. | 8.1.0 ,8.0.9 y 7.1.17, |
| PAN-92564 | 8.0.0-8.0-8, 8.1.0 | Fixed un problema donde un pequeño porcentaje de transceptores de terceros SFP grabables (no comprados a Palo Alto Networks®) dejó de funcionar o experimentó otros problemas después de actualizar el firewall que los SFP están conectados a una PAN-OS versión [8.0 | 8.1]. Con esta corrección, no debe reiniciar la firewall imagen base después de descargar e instalar la imagen base PAN-OS [8.0 | 8.1] hasta después de descargar e instalar el PAN-OS [8.0.9 | 8.1.x] versión. Para obtener más información, consideraciones de actualización e instrucciones para actualizar los firewalls, consulte la PAN-OS información de actualización 8.1. | dejar de funcionar sin apoyo SFP | SDK tenía un error de lectura I2C insertado. Esto causó Panos 8,0, (y 8.1.0 inicial) para tener este controlador de bus I2C para tener este error lógico en las funciones de lectura, que estropeó el controlador de la secuencia de protocolo de dispositivo. | Uso compatible SFP | 8.1.1, 8.0.9 |
| PAN-89718 | PA-7000series / 8.0.0-8.0.7 y todos los más viejos Mainlines | Se ha corregido un error que impedía que los PA-7000 firewalls de la serie se reiniciaran continuamente porque el proceso "brdagent" dejaba de responder durante el arranque debido a la HSCI inicialización de la interfaz | Firewall Reinicios | FPP brdagent está atado inicializando los maravillosos PHYs y no puede responder a los latidos del corazón. Como resultado, se mata por dominado | Deshabilite HSCI los puertos o elimine + módulo durante el HSCI QSFP reinicio | 8.1.0, 8.0.8 |
| PAN-86882 | 8.0.0-8.0.7 y todos los más viejos Mainlines | Se ha corregido un error que impedía que el firewall plan de datos dejara de responder después de usar comodines anidados ("*") con "." o "/" como delimitadores en las direcciones URL de una categoría personalizada URL ("Objetos > objetos personalizados > URL categoría") o en la "Lista de permitir" de un perfil de URL filtrado ("Objetos > perfiles de seguridad > URL Filtrado > perfil de URL- filtrado> > Invalidaciones"). Con esta corrección, los cortafuegos no permiten utilizar comodines anidados en estos casos. Para más detalles, consulte "NESTED WILDCARD(*) IN URLS MAY SEVERELY AFFECT PERFORMANCE". | DP bloqueo y reinicio debido a la búsqueda personalizada URL | La configuración incorrecta en la categoría personalizada URL mediante asterisco anidado provoca DP una alta carga de cpu Nota: Fix es una comprobación de configuración adicional para evitar | Utilice menos número de asterisco en la configuración. ver el enlace en Descripción para obtener más información | 8.1.0, 8.0.8 |
| PAN-83687 | 8.0.0-8.0.6 | Se ha corregido un problema en Panorama M- los dispositivos de serie en los que el proceso "configd" dejaba de responder durante una operación de "Confirmar > confirmar e insertar" donde Panorama se insertan cambios de configuración en grupos recopiladores. | bloqueo configd
| Durante la confirmación, se destruye una estructura de datos de tablas en la configuración del recopilador. | No Panorama confirme y el grupo de recopiladores presione al mismo tiempo. | 8.1.0, 8.0.7 |
| PAN-85938 | 8.0.0-8.0.6 7.1.0-7.1.13 | Se ha corregido un error que PAN-OS se quitaba las IP asignaciones de dirección a nombre de usuario de los usuarios finales que iniciaban sesión en una GlobalProtect puerta de enlace interna en un segundo de cerrar sesión en ella. | la información de asignación de IP de usuario no se genera correctamente | cuando el evento Logout/login de protección global ocurrió en el mismo segundo, user-id in firewall no puede determinar la secuencia de estos eventos, ya que usamos timestamp(second granularity) para distinguirlos. | No hay solución disponible | 8.0.7, 7.1.14 |
| PAN-82125 | PA-5000series / 8.0.0-8.0.6 | Se ha corregido un error que se solucionaba cuando el plano de administración o el firewall plano de control se reiniciaban continuamente después de una actualización a la PAN-OS 8.0 y mostraban el siguiente mensaje de error: "rcu_sched se detectaban puestos en CPU/tareas". | continous MP / CP reiniciar | Problema i2c debido a SFP que el módulo sostiene el bus y causa el restablecimiento del controlador i2c no se puede terminar. | Uso compatible SFP | 8.1.0, 8.0.7 |
| PAN-82273 | 8.0.0-8.0.5, 7.1.6-7.1.13 | Se ha corregido un error que provocaba que las sesiones de proxy de bloqueo policy aplicaran las reglas de descifrado provocaban agotamiento del búfer de paquetes, lo que finalmente provocaba la pérdida de paquetes. | Hardware problema de fuga de búfer que podría afectar a cualquier tipo de tráfico manejado por DP | Pérdida del búfer de paquetes debido a RST los paquetes generados como parte de policy la aplicación (tráfico denegado) en combinación con las reglas de no-descifrado
| 1. en la regla ssl no-decrypt, en el perfil de descifrado eliminar acciones de "No descifrar" OR 2. cambiar la regla de denegación policy para caer |
8.0.6, 7.1.14 |
| PAN-84545 | PA-800 Serie / 8.0.0-8.0.5 | Se ha corregido un error que impedía que los firewalls de PA-800 serie no respondieran hasta que los reiniciaba y los firewalls no generaban registros desde que dejaron de responder cuando terminaron de reiniciarse.
| Sistema sin respuesta. sin CLI respuesta /console/ping reinicio manual es necesario para recuperarse del problema | PA-800 utiliza un MDIO controlador de kernel propietario. Este controlador tenía un error que estaba causando una condición de interbloqueo para tener lugar.
| Sin solución | 8.0.6 |
| PAN-82830 | PA-5000 series y PA-3000 series / 8.0.0-8.0.5 | Se ha corregido un error que impedía PA-5000 que los firewalls de series y PA-3000 series que se estaban quedando sin memoria se quedaran brevemente sin respuesta, dejaran de procesar el tráfico y dejaran de generar registros.
| Firewall "cuelga", y no se puede acceder a ella a través SSH / GUI . No se están escribiendo registros, y no hay salida de consola de MGMT. | Mayor huella de memoria de 8,0 está causando el problema. | Downgrade a 7.1. x (número sólo reportado en 8.0. x hasta ahora) |
8.0.6 |
| PAN-81100 | Con plataforma de memoria baja comoPA-200 y M-100 principalmente.Otras plataformas pueden suceder el mismo problema / 8.0.0-8.0.5 | Se ha corregido un problema en el servidor de administración y administración en el que se produce un error en firewall Panorama varias operaciones, como FQDN confirmaciones, actualizaciones y actualizaciones de contenido.
| Error al cometer errores y/o pérdida de memoria: fork () falló! / Los síntomas incluyen falta de confirmación, GUI falta de respuesta, HA error de sincronización de configuración, pérdida de MP memoria, bloqueos de demonio, alto MP CPU . | En 8,0 nos pasaron a 64-bits. Por lo tanto, el uso de memoria virt y res subirá ligeramente.
| Activado M-100 , actualizar a memoria de 32 GB debe reducir en gran medida las ocurrencias. Para PA-200 u otras plataformas, no existe ninguna solución alternativa que no sea la degradación a 7.1.x. |
8.0.6 |
| PAN-78718 | PA-7000 serie con Panorama / 8.0.0-8.0.5 7.1.0-7.1.12, 7.0.0-7.0.18 | Paradas de registro PA7050 / Logrcvr se bloquea PA-7050 | LPC dejó de guardar y mostrar nuevos registros debido a una pérdida de memoria después de que un Panorama servidor de administración que ejecuta un PAN-OS 8.0 o posterior | El problema suele ocurrir en una versión 7K FW que ejecuta 7.x, que es administrada por una Panorama Roma en ejecución (8.0). FW se produce un error en el procesamiento GTP de definiciones de informe que provocan una pérdida de memoria.
| Desde Panorama la configuración 8.0 (o más CLI nueva): establecer la administración de la configuración deviceconfig disable-predefined-reports [ gtp-spoofed-end-ip gtp-malicious- wildfire -submissions top-gtp-attackers top-gtp-victims gtp-users-visiting-malicious-url ] |
8.0.6, 7.1.13, 7.0.19 |
| PAN-82095 | Todas las plataformas de software QoS enumeradas en la descripción / 8.0.0 a 8.0.5 7.1.0 a 7.1.14 | Se ha corregido un problema en PA-3000 PA-800 los firewalls series, PA-500 PA-220 PA-200 series, y series en los que el VM- rendimiento de QoS caía en las interfaces configuradas para utilizar un perfil de QoS con un "Egress Max" establecido en 0Mbps o más de 1143 Mbps ("Perfiles de red > red > perfil de QoS"). | QoS aplica el ancho de banda máximo con menos tráfico que el configurado | Error de codificación limitting Max a 1Gbps
| Baje el ancho de banda QoS por debajo de 1143Mbit/s, downgrade a<=7.1.10 and/or=""></=7.1.10><=8.0.3></=8.0.3> |
8.0.6, 7.1.14 |
| PAN-82275 | VM-Serie / 8.0.0 para 8.0.4 | VM Sereis: el tráfico que se cae el tráfico se cae debido a flow_qos_pkt_timeout | Paquetes QoS no están eliminando después de 82 días | La variable de contador de tiempo de QoS no se restablecía correctamente. | Desactivar la configuración de QoS |
8.0.5 |
| PAN-81590 | PA-5200 Serie / 8.0.0 a 8.0.4 | Inestabilidad interna del vínculo entre DP y CE (Motor de contenido) | Afecta a 5200 plataformas. El sistema puede seguir arrancando incluso si CE se produce un error en la init. Esto causa problemas con la inspección de layer7 y HA el pathmonitor, etc. controlplane-console-output.log muestra el siguiente error: nac0: Los canales de memoria init init in incomplete incomplete | Es un problema de vínculo interno entre DP y CE .
| Uso software aho y dfa. > conjunto fpga del plano de datos de depuración sw_aho sí > conjunto fpga del plano de datos de depuración sw_dfa yes |
8.0.5 |
| PAN-81990 | PA-5220,PA-5250 / 8.0.4 | Múltiples DP reinicios por all_pktproc | DP se bloquea debido al tamaño del grupo de memoria pequeña en 8.0.4. Visto sólo en PA-5220 y PA-5250 . Con la misma causa, otros síntomas tales como GP ( ) conexiones que caen y el tráfico de GlobalProtect SSL descifrado fallando podría suceder | tamaño fijo de memoria en la plataforma de afectados
| Utilice otras plataformas distintas PA-5220 o PA-5250 . O downgrade a 8.0.3. |
8.0.5 |
| PAN-78572 | M-Serie / 8.0.0 a 8.0.4 | Memoria alta con registro en M- serie | Síntomas típicos: -Registros de tráfico y amenazas retrasados Panorama durante 24 horas. -Fallo del kernel de Oom -error de confirmación -error de asignación de memoria | Debido a la indexación de mensajes en las colas de evtmgr de empezar a construir hacia arriba. Esto provoca la acumulación de memoria logd y no poder iniciar proceso de indización. | no hay solución |
8.0.5 |
| PAN-80445 | M-Serie / 8.0.0 a 8.0.3 | Fuga de memoria reportada en M- serie | Reportd memoria aumenta hasta que se dirige. Puede provocar rendimiento lento o pérdida de la capacidad para administrar. La pérdida de memoria denunciada solo ocurre en M- serie en modo combinado. | fija varias fugas de memoria en el proceso de reportd
| No utilice el modo de combo. Utilice recopiladores de registros dedicados. |
8.0.4 |
| PAN-74655 | No específico de la plataforma / 7.0.x, 7.1.x | Alto DP CPU con alto tiempo de procesamiento de urlcache_lookup | Alta DP utilización y lentitud general del tráfico causada por URL el filtrado. Urlcache relacionados con tiempo de proceso de la función sube en "debug dataplane rendimiento de prisionero de guerra" | Problema con URL la memoria caché cuando la memoria caché obtiene más de 1 millón de direcciones URL en MP la memoria caché y el servidor de dispositivos consume CPU altas. DP también consumido alto CPU para buscar caché local crece grande
| Borrar DP y almacenar en MP caché: >clear url-cache todo >delete url-database todo |
PAN-DB la actualización en la nube tiene la corrección en marzo/2017
|