Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Problemas críticos PAN-OS abordados en las versiones - Knowledge Base - Palo Alto Networks

Problemas críticos PAN-OS abordados en las versiones

611042
Created On 09/26/18 21:07 PM - Last Modified 08/11/24 16:46 PM


Symptom


Lista histórica de temas críticos abordada en PAN-OS los lanzamientos

Environment


Todo lo actual PAN-OS

Resolution


Última actualización el : July 27th , 2021


Esta lista se limita a cuestiones de gravedad crítico determinado por Palo Alto Networks y se proporciona sólo para fines informativos.

  • Por favor, compruebe la información en las notas de la versión para ver la información más reciente sobre las versiones fijas.
  • Por favor crear un caso con su proveedor de soporte para una investigación detallada si usted siente que ha encontrado uno de estos temas.
  • Versiones de mantenimiento son el principal mecanismo para solucionar problemas.
  • A la versión de mantenimiento se indica mediante el tercer dígito del número de versión de la versión (por ejemplo, el .2 en PAN-OS 10.0.2).
  • asterisco(*) en Liberación fija se utiliza para la comprobación interna. por favor ignóralo.

 

Errores

Plataforma afectada (si la hubiera)

vErsión/Affected

Descripción (nota de la versión)Impacto

Causa raíz

Solución

Versión fija

PAN-16380010.1.0Se ha corregido un problema intermitente en el que la presencia de un perfil antisoftware espía en una regla de seguridad policy que coincidía con el tráfico provocaba que las DNS respuestas DNS estuvieran mal formadas en tránsito.La respuesta DNS está dañadaEl código de comprobación y modificación de TTL licencias tenía un error para controlar la DNS respuestaEliminar antisoftware espía que contiene dns security el perfil10.1.1*
PAN-1462509.0.0-9.0.13
9.1.0-9.1.9
Se ha corregido un problema por el que, en dos sesiones separadas pero simultáneas, se poseía y procesaba el mismo búfer de paquetes de software.DP estruendoPara el escenario inter-vsys, el mismo búfer de paquetes sw se podía procesar en dos diversas sesiones al mismo tiempo, que a su vez causan el problema.Usar IPsec VPN en lugar de usar SSL9.0.14,9.1.10*
PAN-1560179.1.0-9.1.6, 10.0.0-10.0.2Se ha corregido un problema por el que un búfer de informe de perfil de información de host ( HIP ) XML provocaba una pérdida de memoriaMemoria insuficiente en MPHIP El búfer de informes no se liberó después de enviar el mensaje que causó una pérdida de memoriaDeshabilitar hip la redistribución9.1.7,10.0.3
PAN-156225

PA-3200series
/
8.1.0-8.1.18, 9.1.0-9.1.8 ,10.0.0-10.0.4

Se ha corregido un error que se solucionó que el puerto HA1 B de PA-3200 la serie permaneciera abajo después de la actualización de 9.1.4 a 9.1.5HA1- B enlace hacia abajono pudo obtener un nodo sysd relacionadoNinguno8.1.19,9.1.9,10.0.5*
PAN-1363478.1.0-8.1.18, 9.1.0-9.1.8 , 10.0.0-10.0.4Se ha corregido un error que DNS provocaba que las conexiones de proxy TCP se procesaran incorrectamente, lo que provocaba que un proceso ('dnsproxy') dejara de responder.dnspropyd crash / alto CPUtcp_wait_timer en el demonio no se despejó correctamenteSolución alternativa es deshabilitar la TCP conexión a través de DNSproxy daemon, para evitar de forma segura cualquier problema de capacidad con las solicitudes TCP proxy.8.1.19, 9.1.9,10.0.5,*
PAN-1508528.1.0-8.1.18 ,9.0.0-9.0.12 ,9.1.0-9.1.6 ,10.0.0-10.0.4Se ha corregido un problema con SMTP el que se producía cuando los nombres de archivo adjuntos eran más largos que el búfer asignado. Si el nombre de archivo era más largo que el búfer y se habilitó la inspección de la capa 7, se eliminó el archivo, lo que provocó que no se enviaran errores de sesión y un correo electrónico.DP bloqueo / SMTP caída de paquetesproblema de control de búfer al procesar SMTP el nombre de archivo de la parte multNinguno8.1.19
9.0.13
9.1.7
10.0.5
PAN-1434858.1.0-8.1.18, 9.0.0-9.0.12 , 9.1.0-9.1.6, 10.0.0-10.0.4Se ha corregido un problema de pérdida de memoria relacionado con un proceso (*devsrvr*).pérdida de memoria del servidor de dispositivosmúltiples fugas URL (,confg,etc) son fijosReinicio de devsrvr antes de que se agote la memoria del dispositivo9.0.13,9.1.8,10.0.0
PAN-1568919.1.0-9.1.7
10.0.0-10.0.4
Se ha corregido un problema que provocaba que algunos archivos zip no se descargaran y se mostrara el siguiente mensaje de error: 'resources-unavailable'.La función L7 no funciona al pulsar el error 'recurso no disponible'El búfer del decodificador pasaría a través de un gran número de bucles en el procesamiento L7. Alcanza el límite máximo.

"set deviceconfig setting session resource-limit-behavior bypass" ayuda a omitir las sesiones que llegan al error.

Técnicamente generalmente sucede. pero ALPN "strip" en el perfil de descifrado puede resolver el problema si es causado por la decodificación http2.

"deshabilitar hardware dfa" puede ser una solución alternativa, ya que ayuda a reducir el número de bucles. Eso se puede hacer con los siguientes comandos

debug dataplane fpga set sw_aho yes
debug dataplane fpga set sw_dfa yes
9.1.8
10.0.5
PAN-145417

9.0.0-9.0.12
9.1.0-9.1.7
10.0.0-10.0.3

Se agregaron comandos de depuración para solucionar un problema en el que la firewall conexión a Data Lake debido al mensaje protocolo de estado del certificado en línea ( ) que Cortex falta el valor OCSP 'nextUpdate' en la OCSP respuesta.pérdida de memoria sslmgr causó un problema en OCSPLas consultas con errores OCSP se almacenan en caché durante mucho tiempo. Afecta al comportamiento normal de sslmgr y su uso de memoria subeReiniciar el proceso sslmgr9.0.13,9.1.8,10.0.4
PAN-1492979.1.0-9.1.6
10.0.0-10.0.1
Se ha corregido un problema de desbordamiento de búfer en el servidor de administración, que obligaba al administrador a cerrar la sesión en la interfaz web.bloqueo del servidor de administraciónFaltan llamadas cercanas para un dbs internoEvite realizar varias confirmaciones de validación, commitAlls9.1.7,10.0.2
PAN-153673

Técnicamente toda FW la plataforma puede verse afectada. pero solo recibimos informes de PA5200,PA7000series
8.1.15-8.1.17
9.0.9-9.0.10
9.1.1-9.1.5
10.0.0-10.0.1

Se ha corregido un problema que provocaba que los registros de tráfico no se mostraran debido a un tiempo de espera de subproceso que provocaba que la lectura de los registros del plano de datos se ralentizara.El registro se detiene intermitentementeel subproceso principal estaba ocupado haciendo la antigüedad de la caché hacia fuera, causar la lectura de los registros desde el enlace de la DP ralentización en gran medida.Ninguno8.1.18, 9.0.11, 9.1.6, 10.0.2
PAN-1521068.1.14-8.1.16
9.0.8-9.0.10
9.1.0-9.1.5
10.0.0-10.0.1
Se ha corregido un error que provocaba que genindex.sh el uso del plano de administración CPU permaneciera alto durante un período de tiempo más largo del esperado.Alta MP CPUEl script busca directorios de registro de forma intensivaConfigure los días máximos para los tipos de registro para reducir los días de retención para reducir la cantidad de registros a indexar.8.1.17, 9.0.11, 9.1.6,10.0.2
PAN-154181Panorama
8.1.16
 
Se ha corregido un error que se solucionó un error que en Panorama el que, activado, el cambio de contexto a la interfaz web de una ejecución administrada firewall PAN-OS 8.1.16 no funcionaba.El cambio de contexto no puedeA corrección de errores impidió que el cambio de contexto funcionaraNinguno8.1.17
PAN-1511979.1.3
10.0.0
Se ha corregido un error que se solucionaba cuando se reiniciaba un proceso (*authd*) cuando un administrador se autenticaba en la firewall cuenta con una cuenta de Active Directory ( AD ). Este problema se produjo cuando LDAP se configuró con FQDN , se utilizó en lugar de una dirección de administración DHCP IP estática, y utilizó la interfaz de administración para conectarse al LDAP servidor.Accidente de autenticaciónEl caso límite que DHCP asignó mgmt IPUtilice la ruta de servicio para LDAP9.0.10, 9.1.4, 10.0.1
PAN-1412219.0.0-9.0.9
9.1.0-9.1.2
Se ha corregido un error que provocaba que no se ejecutara una operación de confirmación o actualización de contenido con un error en el plano de datos, lo que provocaba daños en la caché del plano de policy datos.DP estruendo- Cuando DP se produce un error de análisis de fase1 en la confirmación de configuración, la señal de anulación no se limpió correctamente, por lo que la memoria caché está policy dañada
Asegúrese de que la configuración no se equivoque en DP
9.0.10, 9.1.3
PAN-1445988.1.0-8.1.15
9.0.0-9.0.9
9.1.0-9.1.2
Se ha corregido un error que afectaba a GlobalProtect la firewallGP fallo de conexiónLa URL estructura de datos no se libera durante el acceso sin VPN app cliente.No8.1.16, 9.0.10, 9.1.3
PAN-1501728.1.15,9.0.9,9.1.3Se ha corregido un problema que provocaba que los procesos del plano de datos se reiniciaran al intentar acceder a sitios web que tenían habilitado el atributo 'NotBefore' menor o igual que Unix Epoch Time en el certificado de servidor con proxy de reenvío habilitado.DP reiniciar al analizar el certificadoEl valor 'NotBefore' no se ha inicializado correctamente1) Importar el emisor del servidor CA a la firewall y marcarlo de confianza, OR
2) Deshabilitar el descifrado a los servidores con NotBefore <= 1970/1/1 00:00:00 UTC
Esta no es una solución práctica
8.1.15-h3, 8.1.16, 9.0.9-h1, 9.0.10, 9.1.3-h1, 9.1.4,
PAN-1373878.1.0-8.1.14
9.0.0-9.0.8
9.1.0-9.1.2
Se ha corregido un error que URL provocaba que el filtrado usara la IP dirección en lugar del nombre de host, lo que URL provocaba una categorización incorrecta.El problema en el manejo de encabezados host provoca URL la función de filtromanejo de errores cuando el encabezado del host no viene en el primer paqueteHabilite el marco jumbo o use custom-url-category o custom-appid para detectar la cadena "/webapp/wcs/stores/".8.1.15, 9.0.9, 9.1.3
PAN-1480688.1.0-8.1.14
9.0.0-9.0.8
9.1.0-9.1.2
Se ha corregido un problema que permitía SSL bloquear las conexiones si permitía el descifrado con la opción de bloquear sesiones que tenían certificados caducados. Este problema incluía servidores que enviaba una entidad de certificación AddTrust caducada ( CA ) en la cadena de certificados.SSL descifrado no llega a algún sitioproceso de SSL verificación de certificados fijosDeshabilite la comprobación de caducidad del certificado.
(si no se acepta ningún control de caducidad)
8.1.15, 9.0.9, 9.1.3
PAN-103290SÓLO PA3200series
8.1.14
Se ha corregido un error que impedía registrar los datos de diagnóstico del firewall plano de datos en dp-monitor.log después de unas horas de tiempo de actividad.DP estruendodía-uno problema accidente al entregarSin solución8.1.15
PAN-139587PA5200,PA7000series
8.1.0-8.1.14
9.0.0-9.0.8
9.1.0-9.1.4
Se ha corregido un problema que se producía un error en el que se observaba una utilización alta y continua CPU en los planes de datos después de que se produjera la reclavización de ipsec encapsulando la carga útil de seguridad ( ESP ) para varios túneles.CPUDescriptor de paquetes alto / altoESP problema de reintroducciónDespués de la conmutación por error, reinicie el error FW8.1.15, 9.0.9 , 9.1.4
PAN-1444798.1.14 solamenteSe ha corregido un error que se produce cuando se SNMP consulta a los objetos de los valores HOST-RESOURCES-MIB incorrectos devueltos.snmp para lo específico MIB no funcionaregresión de una corrección snmpSin solución8.1.15
PAN-136701PA7000series
9.0.0-9.0.7
9.1.0-9.1.1
Se han añadido los siguientes CLI comandos para abordar un problema en el que los paquetes para las nuevas sesiones se descartan al controlar las sesiones de predicción:
- 'establecer la sesión hwpredict disable yes'
- 'show session hwpredict status'
caída de paquetes en la coincidencia de sesiones de predicciónañadido comando de solución alternativapara deshabilitar la búsqueda de predicción FPP-HW y el FPP-SW uso. Esto se controla mediante un comando operativo.9.0.8, 9.1.2
PAN-121626

PA3200series
8.1.0-8.1.13
9.0.0-9.0.6
9.1.0-9.1.1

Se ha corregido un problema intermitente en el que los firewalls descartaban paquetes, lo que provocaba problemas como latencia de tráfico, transferencias lentas de archivos, rendimiento reducido, errores de supervisión de rutas de acceso internos y errores de la aplicación.Problema de tráficoProblema en el tiempo de memoriaSin solución8.1.14,9.0.7,9.1.2
PAN-125534PA5200,PA7000series
8.1.0-8.1.13
9.0.0-9.0.7

 
Se ha corregido un error que se produce cuando los firewalls experimentan un uso elevado del descriptor de paquetes (en chip) durante las cargas en la nube o el WildFire WF-500 dispositivo.Las WF cargas excesivas causaron un alto descriptor de paquetesCargas WF excesivas suben los recursos de la plataforma.

Limitar el número máximo de WF subidas pendientes

Configure la configuración de > dispositivo > WildFire > configuración general > límites de tamaño de archivo para especificar los siguientes valores
recomendados para los límites de tamaño WildFire de archivo:

- pe 8 MB
- apk 10 MB
- pdf 500 KB
- ms-office 500 KB
- jar 5 - flash MB
5 - MB
MacOSX 1 MB
- archivo 10 MB
- linux 10 MB
- script 20 KB

8.1.14,9.0.8,9.1.2
PAN-135260PA7000series sólo
8.1.12 solamente
Se ha corregido un problema intermitente en el que el proceso del plan de datos (*all_pktproc_X*) en una tarjeta de procesamiento de red ( ) se reiniciaba al procesar el NPC tráfico del túnel IPSec.DP estruendoBloqueo durante la búsqueda de flujo
Añadido un código de validación
Sin solución8.1.13,9.0.7,9.1.2
PAN-1368208.1.0-8.1.13Se ha corregido un error que producía una conmutación por error de alta disponibilidad ( HA ) después de que se firewall notificara el siguiente mensaje de error en el registro **System**: 'Dataplane down: controlplane exit failure'.DP crash / down
Monitor de trayecto interno falla
NFS problema de transferencia en DP
las opciones de ajuste NFS
Sin solución8.1.14,9.0.0
PAN-102096PA7000series
8.1.0-8.1.12
Se ha corregido un problema que provocaba que el primer búfer de paquetes del procesador de paquetes no se asignara con la alineación adecuada, lo que causaba daños en la memoria.fallo del monitor de trayecto interno, FPP bloqueoPosible corrupción en la memoria FPPSin solución8.1.13
PAN-133440PA5200,PA7000series
8.1.8-8.1.12
9.0,9.1
Se ha corregido un error que provocaba problemas de uso y rendimiento de los planes de datos firewall elevados.búfer de paquetes alto CPU / altoproblema de reensamblaje de fragmentosConsidere la posibilidad de bloquear fragmentos a través de la protección de zona.8.1.13,9.0.7,9.1.2
PAN-131993Panorama serie
8.1.11-8.1.12
9.0,9.1
Se ha corregido un problema que provocaba que un proceso (*reportado*) se bloqueara al ejecutar una consulta de registro.accidente reportadodoublefree mientras intenta limpiar al manejar una consulta de registroPermita que la consulta se ejecute hasta su finalización antes de cerrar la pestaña/navegador8.1.13,9.0.7,9.1.2
PAN-115875LFC(PA7000)
9.0.0-9.0.5
Se ha corregido un error que se registraba un PA- par de 7080b HA cuando el tráfico de paquetes de gran tamaño afectaba a los puertos del panel frontal de la tarjeta de reenvío de registros ( LFC ).LFC ReiniciarLFC error de manejo de errores del puerto frontal al recibir tramas jumboEvite conectar los puertos del panel frontal a redes con tramas gigantes9.0.6 y 9.1.0
PAN-1236679.0.0-9.0.5Se ha corregido un problema que provocaba que el proceso "snmpd" se bloqueara al sondear contadores globales.snmpd crash y OOM (fuera de la memoria) en kernelpérdida de memoria de snmpd al acceder a OID de contador globalLa solución alternativa para evitar este bloqueo es evitar el sondeo de OID en la tabla de contadores globales.9.0.6 y 9.1.0
PAN-123322PA3200,PA5200,PA7000series
8.1.0-8.1.11
9.0.0-9.0.5
" PA-3200 Firewalls de PA-5200 serie, serie y serie que ejecutan PA-7000 " " PAN-OS <8.1.11 |="" 9.0.5="">solamente") Hay un problema intermitente donde un proceso ("all_pktproc") deja de responder debido a una entrada de consulta de trabajo ( WQE ) corrupción causada por sesiones secundarias duplicadas.</8.1.11>accidente del avión de datosAccidente al entregar el paquete en la sesión de predicciónNinguno8.1.12,9.0.6 y 9.1.0
PAN-128269PA5200 series sólo
8.1.10-8.1.11
9.0.0-9.0.5
" PA-5250 , , y PA-5260 PA-5280 firewalls con cables de 100 GB AOC solamente") Cuando usted actualiza al primer par en una configuración de alta disponibilidad ( HA ) a "[ PAN-OS 8.1.9-h4 o un posterior] / [una PAN-OS versión 9.0]", el puerto de la interconexión del chasis de alta velocidad ( HSCI ) no sube debido a una FEC discordancía hasta después de que usted termine de actualizar el segundo par.HSCI interfaz hacia abajoLa configuración interna del chip afectó al AOC móduloConsulte Techsupport para el procedimiento de actualización, de lo contrario evite las versiones8.1.12,9.0.6 y 9.1.0
PAN-1244819.0.0-9.0.4Se ha corregido un error que impedía que el plan de datos dejara de responder cuando SMTP se usaban sesiones.DP fallo del monitor de trayecto interno/ bloqueo del monitor de trayecto internoMIME límite se calcula erróneamenteapp-Reemplazar el archivo SMTP9.0.5
PAN-126547

8.1.0-8.1.10
9.0.0-9.0.4

Se ha corregido un error que impedía que un proceso ("configd") dejara de responder cuando se desencadenaba una XML API llamada con "type=config&action=get" durante una confirmación.configuración de bloqueoNull no se estableció en un puntero cuando se libera el nodo xmlNo ejecute xml api para obtener xpath predefinido8.1.11 y 9.0.5
PAN-120662

PA-7000 series solamente XM (las tarjetas no se ven afectadas)
8.1.0-8.1.10
9.0.0-9.0.4

["PA-7000 Firewalls de serie que utilizan PA-7000 solo tarjetas -20G"] NPC Se ha corregido un problema intermitente en el que una condición fuera de memoria OOM () provocaba que el plano de datos o la supervisión de rutas internas dejaran de responder.DP fallo del monitor de trayecto interno/ bloqueo del monitor de trayecto interno
Memoria insuficiente se asignó al kernel de Linux
Sin solución8.1.11 y 9.0.4
PAN-119862PA5050 sólo
8.1.0-8.1.11
Se ha corregido un problema intermitente en el que una condición fuera de memoria OOM () provocaba que el plano de datos o la supervisión de la ruta interna dejaran de responder. Con esta corrección, la capacidad de la sesión se reduce en 400.000.DP fallo del monitor de trayecto interno/ bloqueo del monitor de trayecto internoSin memoria en DP0Sin solución8.1.11
PAN-1156958.0.x
8.1.0-8.1.9
9.0.0-9.0.3
Se ha corregido un problema intermitente en el que se recibía un gran número de paquetes antes de que se completaran las confirmaciones, lo que agotaba las entradas de cola de descriptores y resultaba en una alta latencia durante las transferencias de datos, aunque CPU el uso parecía normalDescriptor de paquetes alto y búfer de paquetesComo resultado, una o unas pocas sesiones agresivas TCP pueden tomar todas las entradas de la cola del descriptor debido a los paquetes de acksesión clara causando el problema8.1.10 y 9.0.4
PAN-1166138.0.x
8.1.0-8.1.8
9.0.0-9.0.3
Se ha corregido un problema en una VM- serie firewall implementada en Microsoft Azure en la que los paquetes se dejaban caer silenciosamente debido a un error del kernelcaída de tráfico cuando el tráfico de ráfagaun error del kernel al procesar el tráfico de destonación en AzureSin solución8.1.9 y 9.0.4
PAN-1201948.1.5-8.1.9
9.0.0-9.0.3
("Virtual y M- Solo electrodomésticos de serie Panorama y recopiladores de registros") Se ha corregido un problema en el que los índices de Elasticsearch ( ES ) cerrados seguían recibiendo y re-colando registros, lo que dio lugar a un uso CPU elevado.Error de ingesta de registros y alta CPUíndice mensual cerrado inesperadamentePóngase en contacto con Techsupport8.1.10 y 9.0.4
PAN-1184078.1.0-8.1.8
9.0.0-9.0.3
Se ha corregido un error que provocaba que se reiniciara un error de supervisión de la ruta interna debido a una fuga de búfer firewallDP reiniciar debido a la falla interna de monitoreo de la trayectoria del paquetedesorden de la agrupación de búferesSin solución8.1.9 y 9.0.4
PAN-1177208.1.0-8.1.9
9.0.0-9.0.3
("GlobalProtect Solo entornos sin VPN cliente") Se ha corregido un error que provocaba que un proceso ("all_pktproc") dejara de responder y provocara que se firewall reiniciara inesperadamente al procesar el tráfico sin GlobalProtect VPN cliente. Para aprovechar esta corrección, primero debe actualizar ("Dispositivos> Actualizacionesdinámicas") a GlobalProtect la versión de contenido sin cliente VPN 79 o una versión posterior.DP estruendoexcepción al manejar el paquete sin cliente VPN con un paquete grandecambiar clientlessVPN a GP ( ) o bajar a SSLVPN
8.1.8 o más
8.1.10 y 9.0.4
PAN-1139718.1.0-8.1.8
9.0.0-9.0.3
("PA-7000 Solo firewalls de serie") Se ha corregido un error en el que el vínculo Interconexión chasis de alta velocidad ( HSCI ) se inflamaba después de reiniciar el firewall archivo .HSCI solapaErrores de señal en SMC 8.1.9 y 9.0.4
PAN-1117088.1.0-8.1.8
9.0.0-9.0.2
("PA-3200 Solo firewalls de serie") Se ha corregido un problema de software raro que provocaba que el plano de datos se reiniciara inesperadamente. Para aprovechar esta corrección, debe ejecutar el comando "debug dataplane set pow no-desched yes" CLI (aumenta CPU la utilización).DP estruendoProblema de deschedule sobre CPU utilizado en PA3200Sin solución8.1.9 y 9.0.3
PAN-1177298.1.8 solamenteSe ha corregido un error que se firewall mostraba incorrectamente las advertencias de dependencia de la aplicación
("Directivas > seguridad") después de iniciar una confirmación
La dependencia de la aplicación aparece en la confirmacióndebido a la solución incompleta de PAN-98386Sin solución8.1.9
PAN-107005Serie PA3200 sólo
8.1.0-8.1.4
9.0.0-9.0.2
Se ha corregido un problema en los PA-3200 firewalls de la serie en los que los paquetes caían cuando VSS- un dispositivo externo anexaba un remolque Ethernet de supervisión.L4checksum falla para VSS monitorear el remolque y el paquete caeEl procesador de descarga de red cae el paquete debido a su validación de chequeo L4No hay solución alternativa. Actualizar PANOS8.1.5 y 9.0.3
PAN-1128148.1.6-8.1.7 y
9.0.0-9.0.1
Se ha corregido un error que provocaba H que las llamadas basadas en .323 perdieran audio porque la sesión H .245 pronosticada no se convertía en estado activo, lo que provocaba que firewall el .245 cayera el tráfico H .245.predecir el fracaso de la sesiónla sesión de predicción no puede crear cuando la sesión de predicción es creada por el flujo S2C y su origen NATedNo utilice Fuente NAT8.1.8 y 9.0.2
PAN-1030238.0.14-8.1.15
8.1.2-8.1.6
Se ha corregido un problema intermitente en el que una instalación de contenido (contenido) provocaba un firewall error de configuración y dejaba de firewall responder.FQDN los objetos se resuelven como 0.0.0.0. y empujado a DP . que causa problema de tráficoEl trabajo de instalación de contenido implica una configuración incorrecta por errorConfirme la fuerza o obligue a otra FQDN actualización.8.0.16 ,8.1.7 y 9.0.0
PAN-108241PA-3200 serie/ 8.1.0-8.1.5Se ha corregido un problema en una PA-3200 serie en la que varios procesos de plano de datos firewall (all_pktproc, flow_mgmt, flow_ctrl y pktlog_forwarding) dejaban de responder cuando estaba sobrecargado de tráfico.DP estruendoproceso flujo ager doble libreHabilitar software aho/dfa y pscan puede reducir en gran medida la probabilidad de ver el problema.8.1.6 y 9.0.0
PAN-1095948.0.14, 8.1.5 solamenteSe ha corregido un problema que provocaba que el plan de datos se reiniciara cuando se producía un evento de reintroducción IPsec y provocaba un error del proceso del túnel (tund) cuando uno (pero no ambos) HA par está ejecutando PAN-OS 8.0.14 o PAN-OS 8.1.5.DP reinicio debido a la caída de la tirada durante la discordancía de la versión en HA los pares durante el proceso de actualizaciónDP reiniciar debido al bloqueo de la escayen que es causado por ike rekey en HA el parAntes de actualizar HA los pares, ajuste temporalmente IKE las duraciones a más de lo predeterminado para asegurarse de que el evento de reintroducción no se produce durante el proceso de actualización. También puede romper HA entre pares y actualizar individualmente como independiente.8.0.15, 8.1.6
PAN-108785Serie PA3200/ 8.1.0-8.1.5Se ha corregido un problema intermitente en una firewall HA configuración activa/pasiva en la que una prueba de ping dejaba de responder en los Ethernetes 1/1, 1/2 y 1/4 debido a los errores de entrada en el puerto del Switch correspondiente después de una HA conmutación por error.eth1/1,2,4 corrompe el paquete en la transmisión después de HA la Conmutación por fallapasos de inicialización de la interfaz después de HA la conmutación por error llamada instrucciones innecesariascierre manualmente/no cierre las interfaces8.1.6 y 9.0.0
PAN-1077918.1.4Se ha corregido un error que se produce después de actualizar de PAN-OS 8.1.3 a 8.1.4 se produce un error en la CLI autenticación de administrador de dos factores.2FA fallaerror de manejo de enchufe para 2FAninguno8.1.5 y 9.0.0
PAN-1073658.1.4Se ha corregido un problema en Panorama M- series y dispositivos virtuales en los que, después de realizar un cambio en una plantilla e intentar insertar en un dispositivo de destino, el dispositivo no aparecía en la lista Selección de ámbito de inserción ("Confirmar > Insertar en dispositivos > Editar selecciones > Grupos de dispositivos").No se puede especificar el dispositivo en la plantillaExcepción en el código phpninguno8.1.5
PAN-1072718.1.4Se ha corregido un problema en una PA-3200 serie firewall que PAN-OS ejecutaba 8.1.4 en una HA configuración donde el puerto HA1- B (backup) no subió como se esperaba.El puerto HA1B es inutilizablesolución adicional de PAN-89402utilizar otra interfaz para HA18.1.5
PAN-1002448.0.x,8.1.xSe ha corregido un problema que provocaba un error en la confirmación o confirmación de la validación seguido de un evento no confirmado por el usuario (como una FQDN actualización, una actualización de lista dinámica externa o una actualización antivirus) provocaba un cambio inesperado en la configuración que provocaba que el firewall tráfico se quitara.caída del tráfico debido a una aplicación incorrecta policylast-candidatecfg.xml se ha cambiado lo que no debería ocurrir cuando se produce un error en la confirmación.Esa configuración estuvo involucrada en la siguiente FQDN / EDL actualizaciónLa realización de la actualización o confirmación manual FQDN parece resolver el problema hasta la siguiente aparición.8.0.14,8.1.5
PAN-1006138.0.10-,8.1.2-8.1.4Se ha corregido un problema en una PA-5200 serie en una configuración firewall activa/activa de alta disponibilidad HA ( ) con una subinterfaz de alambre virtual (vwire) donde los paquetes de configuración de sesión enviados a firewalls del mismo nivel se enviaban de vuelta como condiciones de carrera HA2/HA3, lo que provocaba un aumento en los descriptores de paquetes y el tráfico para dejar de responder.tráfico puede verse afectado intermitentemente debido al descriptor de paquetes altoDebido a la condición de carrera en la configuración de la sesión, el loop de paquetes en HA2/HA3 que afecta al descriptor del paqueteConfiguración de sesión/propietario establecido para el primer paquete/primer paquete.De lo contrario, utilice el modo Activo/Pasivo8.1.5
PAN-1060168.0.x,8.1.xSe ha corregido un problema en los PA-800 firewalls de la serie en los que un pico de memoria del kernel provocaba el firewall reinicio.reinicio inesperado del sistemafalta de memoria del núcleoninguno8.0.14,8.1.5
PAN-1069368.0.x,8.1.xSe corrigió y se emitió un problema en el que PA-800 los firewalls de la serie se reiniciaban intermitentemente debido a un error del kernel.reinicio inesperado del sistemauso pesado del controlador de serie causó el tiempo de espera del perro relojninguno8.0.14,8.1.5
PAN-104116

8.1.3,8.0.12

Se ha corregido un error que provocaba que el hardware firewall rendimiento se degradara.Hardware agotamiento de los búferes de paquetesEn raras condiciones, el hardware búfer de paquetes no se liberaninguno8.1.4,8.0.13

 

PAN-103921

PA-3200 serie/

8.1.0-8.1.3

Se ha corregido un error en una PA serie 3200 firewall en la que el plano de datos fallaba debido a un error de supervisión de la ruta interna.Error del monitor de ruta internaFallo de comunicación en el vínculo entre MP y DPNinguno8.1.4 y 9.0.0
PAN-103442

PA-3200 serie/

8.1.0-8.1.3

Se ha corregido un problema intermitente en una PA-3200 serie en la que la base de información de firewall reenvío ( FIB ) no se actualizaba correctamente, lo que impedía el reenvío correcto del tráfico descargado.Algunos tráfico descargados no se reenvían correctamente.FIB entrada DP en no es ninguna actualización correctamente debido a error de programaciónDeshabilitar la descarga de sesión8.1.4 y 9.0.0
PAN-98116

PA-3000 serie /

8.1.0-8.1.2

Se ha corregido un error que provocaba que los firewalls de la PA-3000 serie pasaran descriptores de archivo en un proceso de plano de datos ("pan_comm") durante la instalación de contenido (aplicaciones y amenazas), así como la ejecución del trabajo FQDNRefresh, lo que provocaba que el hardware motor de capa 7 identificara incorrectamente las aplicaciones.App- ID (proceso L7) dejar de funcionar

 DP estruendo

Fuga de descriptor de archivo en pan_comm proceso a cargo de la confirmación en DPninguno

8.1.3

 PAN-99212

8.0.10-8.0.11

, 8.1.0-8.1.2

Se ha corregido un error que implicaba que los firewall paquetes caídos incorrectamente ARP y aumentaba el contador "flow_arp_throttle". ARP no funciona /Traffic stopARP característica de limitación de paquetes cuenta erróneamente el número de arp inspeccionados y cae paquetes arpNinguno 

8.0.12 y 8.1.3

 PAN-98397

 PA-3200 serie/

8.1.0-8.1.2

Se ha corregido un problema en PA-3200 los firewalls de serie en los que el procesador de descarga no procesaba los mensajes de actualización de eliminación de rutas, lo que dejaba atrás las entradas de ruta obsoletas y provocaba que las sesiones no respondieran durante la fase de descarga de la sesión.Caída de paquetes debido al problema de la tabla de ruteo en el chip de descargaFIB en el chip de descarga(FE100) no se ha actualizado correctamente después de la eliminación de la rutaDeshabilitar la descarga de sesión8.1.3
PAN-94912

PA-5200 serie/

8.0.0-8.0.9

8.1.0-8.1.1

Se ha corregido un error que implicaba que los firewalls de PA-5200 serie y serie en una configuración PA-3200 activa/activa de alta disponibilidad ( HA ) enviaba paquetes en la dirección incorrecta en una implementación de cable virtual. 

MAC aleteo suceden en el interruptor de neighouring.

La interrupción del tráfico puede ocurrir

En el caso ha Active-Active vwire, cuando el dispositivo reenvía los paquetes a través del link ha3. la información del encabezado se fija correctamente en algunos casos, causando que tales paquetes se reenvíen de nuevo al HA par, en lugar de reenviar localmente.En uno de los casos (00810651), deshabilitar la descarga de sesión ha resuelto el problema.8.0.10 y 8.1.2
PAN-90890

8.0.0-8.0.9

8.1.0

Se ha corregido un error que impedía que el proceso de usuario ID ("useridd") dejara de responder cuando un sistema virtual conectado a más de un agente de ID usuario con Manager ( ) NT LAN NTLM habilitado.

proceso de ID a/Crash/

Descriptor de ID de archivo alto/ID de usuario

Inestabilidad

memoria corrupción de estado de conexiónconfigurar sólo un user-id-agent con NTLM habilitado en cada vsys.

8.0.10 y 8.1.1

PAN-93839

PAN-3000series y PAN- 5000series

/

8.0.0-8.0.9

8.1.0

Se ha corregido un error que provocaba que los administradores no iniciaran sesión en la firewall condición debido a una condición fuera de memoria que provocaba que los firewall procesos se reiniciaran continuamente. ( PAN-90143 proporcionó una mejora de memoria inicial en PAN-OS 8.0.9 que redujo la frecuencia de estos eventos fuera de memoria.)

la memoria baja en MP el kernel lidera la inestabilidad del sistema, como el error de inicio de sesión de administrador

/ Fuera de la memoria en MP

Los kernels de Linux en PANOS 8.x/9.x tienen la pérdida de memoria que se corrige en la secuencia principal linux. Portar el parche desde el núcleo de Linux de la corriente principal.Sistema de reinicio

8.0.10 y 8.1.1

PAN-799898.0.0-8.0.8Se ha corregido un problema en los cortafuegos con firmas personalizadas configuradas donde las condiciones de memoria baja provocaban errores de confirmación o de instalación de contenido con el siguiente error: "error del controlador de base de datos de amenazas".error de confirmacióndevsrvr use la llamada del sistema fork () para generar un proceso secundario (tdb_compile) para compilar contenido durante commit. Cuando la memoria libre es baja, esta llamada de bifurcación () puede fallar, que fallará el commit o la instalación del contenido.sistema de reinicio8.1.0, 8.0.9
PAN-90143

PA-5000 serie/

8.0.0-8.0.8 y 8.1.0

Se ha corregido un error que implicaba que los administradores no iniciaran sesión de forma intermitente en el firewall proceso porque reiniciaba los procesos de forma intermitente continuamente debido a una condición fuera de memoria.sistema de estabilidad/sistema insensibleLa memoria rastreable del kernel está disminuyendo constantemente. Cambiar la configuración del kernel desactivando la movilidad de la página podría detener la caída.sistema de reinicio8.1.1, 8.0.9
PAN-92268

PA-7000,SERIE PA5200,PA3200/

7.1.0-7.1.16 y 8.0.0-8.0.8

Se ha corregido un problema en PA-7000 PA-5200 los firewalls series, series y PA-3200 series en los que uno o varios planes de datos no pasaban el tráfico cuando ejecutaba varios comandos operativos (desde cualquier interfaz de firewall usuario o desde el servidor de Panorama administración) mientras confirmaba cambios en la configuración del dispositivo o de la red o al instalar una actualización de contenido.

Caída del tráficoMiss-programación en Pancomm usar ID de cola de bypass incorrectohacer otro commit si esto sucede.

8.1.0 ,8.0.9

y 7.1.17,

PAN-92564

8.0.0-8.0-8, 8.1.0

 Fixed un problema donde un pequeño porcentaje de transceptores de terceros SFP grabables (no comprados a Palo Alto Networks®) dejó de funcionar o experimentó otros problemas después de actualizar el firewall que los SFP están conectados a una PAN-OS versión [8.0 | 8.1]. Con esta corrección, no debe reiniciar la firewall imagen base después de descargar e instalar la imagen base PAN-OS [8.0 | 8.1] hasta después de descargar e instalar el PAN-OS [8.0.9 | 8.1.x] versión. Para obtener más información, consideraciones de actualización e instrucciones para actualizar los firewalls, consulte la PAN-OS información de actualización 8.1.dejar de funcionar sin apoyo SFP SDK tenía un error de lectura I2C insertado. Esto causó Panos 8,0, (y 8.1.0 inicial) para tener este controlador de bus I2C para tener este error lógico en las funciones de lectura, que estropeó el controlador de la secuencia de protocolo de dispositivo.Uso compatible SFP

8.1.1, 8.0.9

PAN-89718

PA-7000series

/

8.0.0-8.0.7

y todos los más viejos Mainlines

Se ha corregido un error que impedía que los PA-7000 firewalls de la serie se reiniciaran continuamente porque el proceso "brdagent" dejaba de responder durante el arranque debido a la HSCI inicialización de la interfazFirewall Reinicios

FPP brdagent está atado inicializando los maravillosos PHYs y no puede responder a los latidos del corazón. Como resultado, se mata por dominado

Deshabilite HSCI los puertos o elimine + módulo durante el HSCI QSFP reinicio

8.1.0, 8.0.8

PAN-86882

8.0.0-8.0.7

y todos los más viejos Mainlines

Se ha corregido un error que impedía que el firewall plan de datos dejara de responder después de usar comodines anidados ("*") con "." o "/" como delimitadores en las direcciones URL de una categoría personalizada URL ("Objetos > objetos personalizados > URL categoría") o en la "Lista de permitir" de un perfil de URL filtrado ("Objetos > perfiles de seguridad > URL Filtrado > perfil de URL- filtrado> > Invalidaciones"). Con esta corrección, los cortafuegos no permiten utilizar comodines anidados en estos casos. Para más detalles, consulte "NESTED WILDCARD(*) IN URLS MAY SEVERELY AFFECT PERFORMANCE".DP bloqueo y reinicio debido a la búsqueda personalizada URL

La configuración incorrecta en la categoría personalizada URL mediante asterisco anidado provoca DP una alta carga de cpu

Nota: Fix es una comprobación de configuración adicional para evitar

Utilice menos número de asterisco en la configuración. ver el enlace en Descripción para obtener más información

8.1.0, 8.0.8

PAN-836878.0.0-8.0.6Se ha corregido un problema en Panorama M- los dispositivos de serie en los que el proceso "configd" dejaba de responder durante una operación de "Confirmar > confirmar e insertar" donde Panorama se insertan cambios de configuración en grupos recopiladores.

bloqueo configd

 

Durante la confirmación, se destruye una estructura de datos de tablas en la configuración del recopilador.No Panorama confirme y el grupo de recopiladores presione al mismo tiempo.8.1.0, 8.0.7
PAN-85938

8.0.0-8.0.6

7.1.0-7.1.13

Se ha corregido un error que PAN-OS se quitaba las IP asignaciones de dirección a nombre de usuario de los usuarios finales que iniciaban sesión en una GlobalProtect puerta de enlace interna en un segundo de cerrar sesión en ella.

la información de asignación de IP de usuario no se genera correctamentecuando el evento Logout/login de protección global ocurrió en el mismo segundo, user-id in firewall no puede determinar la secuencia de estos eventos, ya que usamos timestamp(second granularity) para distinguirlos.

No hay solución disponible

8.0.7, 7.1.14
PAN-82125

PA-5000series

/

8.0.0-8.0.6

Se ha corregido un error que se solucionaba cuando el plano de administración o el firewall plano de control se reiniciaban continuamente después de una actualización a la PAN-OS 8.0 y mostraban el siguiente mensaje de error: "rcu_sched se detectaban puestos en CPU/tareas".

continous MP / CP reiniciarProblema i2c debido a SFP que el módulo sostiene el bus y causa el restablecimiento del controlador i2c no se puede terminar.

Uso compatible SFP 

8.1.0, 8.0.7

PAN-82273

8.0.0-8.0.5,

7.1.6-7.1.13

Se ha corregido un error que provocaba que las sesiones de proxy de bloqueo policy aplicaran las reglas de descifrado provocaban agotamiento del búfer de paquetes, lo que finalmente provocaba la pérdida de paquetes.

Hardware problema de fuga de búfer que podría afectar a cualquier tipo de tráfico manejado por DPPérdida del búfer de paquetes debido a RST los paquetes generados como parte de policy la aplicación (tráfico denegado) en combinación con las reglas de no-descifrado

 

 

1. en la regla ssl no-decrypt, en el perfil de descifrado eliminar acciones de "No descifrar"

OR

2. cambiar la regla de denegación policy para caer

 

8.0.6, 7.1.14

PAN-84545 

PA-800 Serie

/

8.0.0-8.0.5

Se ha corregido un error que impedía que los firewalls de PA-800 serie no respondieran hasta que los reiniciaba y los firewalls no generaban registros desde que dejaron de responder cuando terminaron de reiniciarse.

 

 

Sistema sin respuesta. sin CLI respuesta /console/ping

reinicio manual es necesario para recuperarse del problema

PA-800 utiliza un MDIO controlador de kernel propietario. Este controlador tenía un error que estaba causando una condición de interbloqueo para tener lugar.

 

 

Sin solución

8.0.6

PAN-82830

PA-5000 series y PA-3000 series

/

8.0.0-8.0.5

Se ha corregido un error que impedía PA-5000 que los firewalls de series y PA-3000 series que se estaban quedando sin memoria se quedaran brevemente sin respuesta, dejaran de procesar el tráfico y dejaran de generar registros.

 

Firewall "cuelga", y no se puede acceder a ella a través SSH / GUI . No se están escribiendo registros, y no hay salida de consola de MGMT.

Mayor huella de memoria de 8,0 está causando el problema.

Downgrade a 7.1. x (número sólo reportado en 8.0. x hasta ahora)

 

8.0.6

PAN-81100

Con plataforma de memoria baja comoPA-200 y M-100 principalmente.Otras plataformas pueden suceder el mismo problema

/

8.0.0-8.0.5

Se ha corregido un problema en el servidor de administración y administración en el que se produce un error en firewall Panorama varias operaciones, como FQDN confirmaciones, actualizaciones y actualizaciones de contenido.

 

Error al cometer errores y/o pérdida de memoria: fork () falló!

/ Los síntomas incluyen falta de confirmación, GUI falta de respuesta, HA error de sincronización de configuración, pérdida de MP memoria, bloqueos de demonio, alto MP CPU .

En 8,0 nos pasaron a 64-bits. Por lo tanto, el uso de memoria virt y res subirá ligeramente.

 

Activado M-100 , actualizar a memoria de 32 GB debe reducir en gran medida las ocurrencias.

Para PA-200 u otras plataformas, no existe ninguna solución alternativa que no sea la degradación a 7.1.x.

 

8.0.6

PAN-78718

PA-7000 serie con Panorama

/

8.0.0-8.0.5

7.1.0-7.1.12, 7.0.0-7.0.18

Paradas de registro PA7050 / Logrcvr se bloquea PA-7050LPC dejó de guardar y mostrar nuevos registros debido a una pérdida de memoria después de que un Panorama servidor de administración que ejecuta un PAN-OS 8.0 o posterior

El problema suele ocurrir en una versión 7K FW que ejecuta 7.x, que es administrada por una Panorama Roma en ejecución (8.0).

FW se produce un error en el procesamiento GTP de definiciones de informe que provocan una pérdida de memoria.

 

 

 

Desde Panorama la configuración 8.0 (o más CLI nueva):

establecer la administración de la configuración deviceconfig disable-predefined-reports [ gtp-spoofed-end-ip gtp-malicious- wildfire -submissions top-gtp-attackers top-gtp-victims gtp-users-visiting-malicious-url ]

 

8.0.6, 7.1.13, 7.0.19

PAN-82095

Todas las plataformas de software QoS enumeradas en la descripción

/

8.0.0 a 8.0.5

7.1.0 a 7.1.14

Se ha corregido un problema en PA-3000 PA-800 los firewalls series, PA-500 PA-220 PA-200 series, y series en los que el VM- rendimiento de QoS caía en las interfaces configuradas para utilizar un perfil de QoS con un "Egress Max" establecido en 0Mbps o más de 1143 Mbps ("Perfiles de red > red > perfil de QoS").

QoS aplica el ancho de banda máximo con menos tráfico que el configuradoError de codificación limitting Max a 1Gbps

 

Baje el ancho de banda QoS por debajo de 1143Mbit/s, downgrade a<=7.1.10 and/or=""></=7.1.10><=8.0.3></=8.0.3>

 

8.0.6, 7.1.14

PAN-82275

VM-Serie

/

8.0.0 para 8.0.4
VM Sereis: el tráfico que se cae el tráfico se cae debido a flow_qos_pkt_timeoutPaquetes QoS no están eliminando después de 82 días

La variable de contador de tiempo de QoS no se restablecía correctamente.

Desactivar la configuración de QoS

 

8.0.5

PAN-81590

PA-5200 Serie

/

8.0.0 a 8.0.4
Inestabilidad interna del vínculo entre DP y CE (Motor de contenido)Afecta a 5200 plataformas. El sistema puede seguir arrancando incluso si CE se produce un error en la init. Esto causa problemas con la inspección de layer7 y HA el pathmonitor, etc.

controlplane-console-output.log muestra el siguiente error:

nac0: Los canales de memoria init init in incomplete incomplete
 

Es un problema de vínculo interno entre DP y CE .
init enlace imporved y mecanismo de recuperación

 

Uso software aho y dfa.

> conjunto fpga del plano de datos de depuración sw_aho sí
> conjunto fpga del plano de datos de depuración sw_dfa yes

 

8.0.5

PAN-81990

PA-5220,PA-5250

/

8.0.4
Múltiples DP reinicios por all_pktprocDP se bloquea debido al tamaño del grupo de memoria pequeña en 8.0.4. Visto sólo en PA-5220 y PA-5250 . Con la misma causa, otros síntomas tales como GP ( ) conexiones que caen y el tráfico de GlobalProtect SSL descifrado fallando podría suceder

tamaño fijo de memoria en la plataforma de afectados

 

Utilice otras plataformas distintas PA-5220 o PA-5250 . O downgrade a 8.0.3.

 

8.0.5

PAN-78572

M-Serie

/

8.0.0 a 8.0.4
Memoria alta con registro en M- serieSíntomas típicos:
-Registros de tráfico y amenazas retrasados Panorama durante 24 horas.
-Fallo del kernel de Oom
-error de confirmación
-error de asignación de memoria

Debido a la indexación de mensajes en las colas de evtmgr de empezar a construir hacia arriba. Esto provoca la acumulación de memoria logd y no poder iniciar proceso de indización.

no hay solución

 

8.0.5

PAN-80445

M-Serie

/

8.0.0 a 8.0.3
Fuga de memoria reportada en M- serieReportd memoria aumenta hasta que se dirige. Puede provocar rendimiento lento o pérdida de la capacidad para administrar.

La pérdida de memoria denunciada solo ocurre en M- serie en modo combinado.

fija varias fugas de memoria en el proceso de reportd

 

No utilice el modo de combo. Utilice recopiladores de registros dedicados.

 

8.0.4

PAN-74655

No específico de la plataforma

/

7.0.x, 7.1.x
Alto DP CPU con alto tiempo de procesamiento de urlcache_lookupAlta DP utilización y lentitud general del tráfico causada por URL el filtrado. Urlcache relacionados con tiempo de proceso de la función sube en "debug dataplane rendimiento de prisionero de guerra"

Problema con URL la memoria caché cuando la memoria caché obtiene más de 1 millón de direcciones URL en MP la memoria caché y el servidor de dispositivos consume CPU altas. DP también consumido alto CPU para buscar caché local crece grande

 

Borrar DP y almacenar en MP caché:

>clear url-cache todo

>delete url-database todo

 

PAN-DB la actualización en la nube tiene la corrección en marzo/2017

PANOS fija en 6.1.18, 7.0.16 y 7.1.10.

 



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000Cm68CAC&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language