发布中处理 PAN-OS 的关键问题
560584
Created On 09/26/18 21:07 PM - Last Modified 02/26/24 02:09 AM
Symptom
在发布中处理的历史关键问题列表 PAN-OS
Environment
所有当前 PAN-OS
Resolution
最后更新时间: 2021年7月27日
此列表仅限于由帕洛阿尔托网络确定的严重严重性问题, 仅供参考之用。
- 请仔细检查发行说明中的信息,以查看有关固定版本的最新信息。
- 如果您觉得遇到了其中一个问题, 请与您的支持提供商一起创建一个详细的调查案例。
- 维护版本是解决问题的主要机制。
- A 维护版本由版本编号中的第三位数字表示(例如 PAN-OS 10.0.2 中的 0.2)。
- 固定版本中的星号(*) 用于内部检查。请忽略它。
| bug | 受影响的平台 (如果有) /受影响的版本 | 说明 (发行说明) | 影响 | 根本原因 | 解决 方案 | 固定版本 |
| PAN-163800 | 10.1.0 | 修复了间歇性问题,其中在匹配流量的安全规则中存在反间谍软件配置文件 policy DNS 会导致 DNS 在传输过程中响应变形。 | dns响应已损坏 | 许可证检查和修改代码 TTL 有一个错误来处理 DNS 响应 | 删除包含配置文件的反间谍软件 dns security | 10.1.1* |
| PAN-146250 | 9.0.0-9.0.13 9.1.0-9.1.9 | 解决了一个问题,即在两个单独但同时进行的会话中,拥有并处理了相同的软件包缓冲区。 | DP 崩溃 | 对于不同情况,相同的 sw 数据包缓冲区可以同时在两个不同的会话中处理,这反过来又会导致问题。 | 使用IP秒 VPN 而不是使用 SSL | 9.0.14,9.1.10* |
| PAN-156017 | 9.1.0-9.1.6, 10.0.0-10.0.2 | 修复了主机信息配置文件 HIP () 报告 XML 缓冲区导致内存泄漏的问题 | 内存中 MP | HIP 报告缓冲区未在消息发送后发布,导致内存泄漏 | 禁用 hip 再分配 | 9.1.7,10.0.3 |
| PAN-156225 | PA-3200系列 | 修复了从 B PA-3200 9.1.4 升级到 9.1.5 后系列 HA1 端口仍然下降的问题 | HA1- B 链接向下 | 未能获取相关的sysd节点 | 没有 | 8.1.19,9.1.9,10.0.5* |
| PAN-136347 | 8.1.0-8.1.18, 9.1.0-9.1.8 , 10.0.0-10.0.4 | 修复了 DNS 代理 TCP 连接处理不当的问题,导致一个进程("dnsproxy")停止响应。 | dns螺旋崩溃/高 CPU | 戴蒙的tcp_wait_timer没有正确清除 | 解决方法是 TCP 通过 DNSproxy 守护神禁用连接,以安全地避免任何与激增请求之间的能力问题 TCP 。 | 8.1.19, 9.1.9,10.0.5,* |
| PAN-150852 | 8.1.0-8.1.18 ,9.0.0-9.0.12 ,9.1.0-9.1.6 ,10.0.0-10.0.4 | 解决了 SMTP 附件文件名称比分配缓冲区长时出现的问题。 如果文件名称比缓冲区长,并且启用了第 7 层检查,则文件将被丢弃,从而导致会话错误和电子邮件无法发送。 | DP 崩溃/ SMTP 数据包掉落 | 处理 SMTP 多部分文件名时的缓冲处理问题 | 没有 | 8.1.19 9.0.13 9.1.7 10.0.5 |
| PAN-143485 | 8.1.0-8.1.18, 9.0.0-9.0.12 , 9.1.0-9.1.6, 10.0.0-10.0.4 | 修复了与过程相关的内存泄漏问题(*devsrvr*)。 | 设备服务器内存泄漏 | 多个泄漏 URL (,共等)已修复 | 在设备内存耗尽之前重新启动开发人员 | 9.0.13,9.1.8,10.0.0 |
| PAN-156891 | 9.1.0-9.1.7 10.0.0-10.0.4 | 修复了某些 zip 文件未下载且显示以下错误消息的问题:"资源不可用"。 | 当命中"资源不可用"错误时,L7 功能不起作用 | 解码器缓冲区将在 L7 处理中经历大量循环。 它达到最大限制。 | "设置设备配置设置会话资源限制行为旁路"有助于绕过命中错误的会话。 debug dataplane fpga set sw_aho yes debug dataplane fpga set sw_dfa yes | 9.1.8 10.0.5 |
| PAN-145417 | 9.0-9.0.12 | 添加了调试命令,以解决 firewall Cortex 由于在线证书状态协议 OCSP () 消息在响应中缺少"下一个更新"值而连接到数据湖的问题 OCSP 。 | sslmgr内存泄漏导致问题 OCSP | 失败的 OCSP 查询会缓存很长时间。 它影响 sslmgr 的正常行为, 其内存使用量上升 | 重新启动 sslmgr 进程 | 9.0.13,9.1.8,10.0.4 |
| PAN-149297 | 9.1.0-9.1.6 10.0.0-10.0.1 | 修复了管理服务器上的缓冲区溢出问题,这迫使管理员在 Web 界面上注销。 | 管理服务器崩溃 | 缺少内部 dbs 的关闭呼叫 | 避免执行多个验证提交,所有提交 | 9.1.7,10.0.2 |
| PAN-153673 | 从技术上讲, 所有 FW 平台都可以受到影响, 但我们只收到 PA5200,PA7000 系列 8.1.15-8.1.17 | 修复了由于线程超时导致从数据平面读取日志的速度变慢而未显示流量日志的问题。 | 日志记录间歇性停止 | 主线程是忙着做缓存老化,导致从链接的日志读取 DP 大大减慢。 | 没有 | 8.1.18, 9.0.11, 9.1.6, 10.0.2 |
| PAN-152106 | 8.1.14-8.1.16 9.0.8-9.0.10 9.1.0-9.1.5 10.0.0-10.0.1 | 修复了一个问题,其中一个过程(*genindex.sh*)导致管理平面 CPU 的使用率保持高的时间比预期的要长。 | 高 MP CPU | 脚本密集搜索日志目录 | 为日志类型配置最大天数以减少保留天数,以减少索引的日志数量。 | 8.1.17, 9.0.11, 9.1.6,10.0.2 |
| PAN-154181 | Panorama 8.1.16 | 修复了一个问题,即 Panorama 上下文切换到管理 firewall 运行 PAN-OS 8.1.16 的 Web 界面不起作用。 | 上下文切换无法 | A 错误修复阻止上下文切换工作 | 没有 | 8.1.17 |
| PAN-151197 | 9.1.3 10.0.0 | 修复了当管理员 firewall 通过活动目录 ()帐户进行身份验证时重新启动进程 (*authd*) 的问题 AD 。 此问题发生在 LDAP 配置时 FQDN ,使用静 DHCP 态管理地址而不是静态管理 IP 地址,并使用管理界面连接到 LDAP 服务器。 | 身份验证崩溃 | DHCP分配毫克的边界案例 IP | 使用服务路线 LDAP | 9.0.10, 9.1.4, 10.0.1 |
| PAN-141221 | 9.0.0-9.0.9 9.1.0-9.1.2 | 修复了未阻止在数据平面上执行有错误的提交或内容更新操作的问题,这导致数据平面 policy 缓存中的损坏。 | DP 崩溃 | - 当 DP 配置提交时发生阶段1解析错误时,中止信号未正确清理,因此 policy 缓存已损坏 | 确保配置不会出错 DP | 9.0.10, 9.1.3 |
| PAN-144598 | 8.1.0-8.1.15 9.0.0-9.0.9 9.1.0-9.1.2 | 修复了数据平面自由内存耗尽的问题,这影响了 GlobalProtect 与 firewall | GP 连接故障 | 数据 URL 结构在无客户端访问期间未被释放 VPN app 。 | 不 | 8.1.16, 9.0.10, 9.1.3 |
| PAN-150172 | 8.1.15,9.0.9,9.1.3 | 修复了数据平面进程在尝试访问服务器证书中"未出现"属性小于或等于启用转发代理的 Unix 时代时间的网站时重新启动的问题。 | DP 解析证书时重新启动 | "未在之前"值未正确初始化 | 1) 将服务器的发卡器导入 CA firewall 并标记它信任的 OR ,2) 禁用解密到那些服务器与不之前 <= 1970/1/1 00:00:00 UTC 这不是实际的解决方案 | 8.1.15-h3,8.1.16,9.0.9-h1,9.0.10,9.1.3-h1,9.1.4, |
| PAN-137387 | 8.1.0-8.1.14 9.0.0-9.0.8 9.1.0-9.1.2 | 修复 URL 了筛选使用 IP 地址而不是主机名的问题,这导致了错误的 URL 分类。 | 主机头处理问题导致 URL 过滤功能 | 当主机头未在第一个数据包中时错过处理 | 启用巨型框架,或使用自定义 url 类别或自定义应用程序来检测字符串"/webapp/wcs/商店/"。 | 8.1.15, 9.0.9, 9.1.3 |
| PAN-148068 | 8.1.0-8.1.14 9.0.0-9.0.8 9.1.0-9.1.2 | 修复了连接 SSL 被阻止的问题,如果您启用了解密选项来阻止已过期证书的会话。 此问题包括在证书链中发送过期的附加信任证书授权 CA () 的服务器。 | SSL 解密无法对某些站点进行解密 | 固定 SSL 证书验证过程 | 禁用证书过期检查。 (如果无法接受过期检查) | 8.1.15, 9.0.9, 9.1.3 |
| PAN-103290 | 仅 PA3200 系列 8.1.14 | 修复了 firewall 在dp-监视器中停止记录数据平面诊断数据的问题.log在几个小时的运行时间后。 | DP 崩溃 | 第一天问题崩溃时, 移交 | 无变通办法 | 8.1.15 |
| PAN-139587 | PA5200,PA7000 系列 8.1.0-8.1.14 9.0.0-9.0.8 9.1.0-9.1.4 | 修复了 CPU IPSec 封装安全有效载荷 ESP ()在多个隧道发生重新键接后,数据平面上出现高连续利用的问题。 | 高 CPU /高包描述符 | ESP 重新键问题 | 故障转移后,重新启动故障 FW | 8.1.15, 9.0.9 , 9.1.4 |
| PAN-144479 | 仅 8.1.14 | 修复了一个问题 SNMP ,其中来自 HOST-RESOURCES-MIB 返回的不正确的值中的对象在查询时。 | snmp的具体 MIB 不工作 | snmp 修复的回归 | 无变通办法 | 8.1.15 |
| PAN-136701 | PA7000 系列 9.0.0-9.0.7 9.1.0-9.1.1 | 添加以下 CLI 命令以解决处理预测会话时新会话的数据包掉落的问题 :-"设置会话 hw 预测禁用是 "-"显示会话 hw 预测状态" | 预测会话匹配时数据包丢弃 | 添加了解决方法命令 | 禁用预测查找 FPP-HW 和使用 FPP-SW 。 这是使用操作命令控制的。 | 9.0.8, 9.1.2 |
| PAN-121626 | PA3200 系列 | 修复了防火墙丢弃数据包的间歇性问题,这些问题导致流量延迟、文件传输速度缓慢、吞吐量降低、内部路径监视失败和应用程序故障等问题。 | 交通问题 | 内存计时问题 | 无变通办法 | 8.1.14,9.0.7,9.1.2 |
| PAN-125534 | PA5200,PA7000 系列 8.1.0-8.1.13 9.0.0-9.0.7 | 修复了防火墙在上传到云或设备期间遇到高数据包描述符(芯片上)使用的问题 WildFire WF-500 。 | 过度 WF 上传导致高数据包描述符 | 过度 WF 上传超压平台资源。 限制未完成上传的最大次数 WF | 配置设备>设置 WildFire >>一般设置>文件大小限制 -pe MB | 8.1.14,9.0.8,9.1.2 |
| PAN-135260 | 仅 PA7000 系列 仅 8.1.12 | 修复了处理 IPSec 隧道流量时,网络处理卡上的数据平面处理 (*all_pktproc_X*) 重新启动的间歇性问题 NPC 。 | DP 崩溃 | 在流查找期间 崩溃 添加验证代码 | 无变通办法 | 8.1.13,9.0.7,9.1.2 |
| PAN-136820 | 8.1.0-8.1.13 | 修复了在 HA **System**日志中报告以下错误消息后发生高可用性 () 故障转移的问题 firewall :"数据飞机关闭:控制飞机退出失败"。 | DP 崩溃/向下 内部路径监视器失败 | NFS DP 调整选项的转移问题 NFS | 无变通办法 | 8.1.14,9.0.0 |
| PAN-102096 | PA7000 系列 8.1.0-8.1.12 | 修复了第一个数据包处理器数据包缓冲区未分配正确对齐的问题,从而导致内存损坏。 | 内部路径监视器故障, FPP 崩溃 | 可能的记忆损坏 FPP | 无变通办法 | 8.1.13 |
| PAN-133440 | PA5200,PA7000 系列 8.1.8-8.1.1.12 9.0,9.1 | 解决了流量分散导致高数据平面使用和 firewall 性能问题的问题。 | 高 CPU /高包缓冲区 | 片段重新组合问题 | 请考虑通过区域保护阻止片段。 | 8.1.13,9.0.7,9.1.2 |
| PAN-131993 | Panorama 系列 8.1.11-8.1.12 9.0,9.1 | 修复了进程 (*报告*)在运行日志查询时崩溃的问题。 | 报告的崩溃 | 处理日志查询时尝试清理时双自由 | 在关闭选项卡/浏览器之前,允许查询运行完成 | 8.1.13,9.0.7,9.1.2 |
| PAN-115875 | LFC(PA7000) 9.0.0-9.0.5 | 修复了一个问题, PA- HA 当大包流量影响日志转发卡的前面板端口时,7080b 对重新启动 LFC 。 | LFC 重新 启动 | LFC 前端口错误处理失败,接收巨型框架 | 避免将前面板端口连接到具有巨型帧的网络 | 9.0.6 和 9.1.0 |
| PAN-123667 | 9.0.0-9.0.5 | 修复了轮询全局计数器时"snmpd"进程崩溃的问题。 | snmpd崩溃和 OOM (出内存)内核 | 访问全局计数器 OID 时 snmpd 的内存泄漏 | 避免此崩溃的解决方法是避免在全局计数器表中轮询 OID。 | 9.0.6 和 9.1.0 |
| PAN-123322 | PA3200、PA5200、PA7000 系列 8.1.0-8.1.11 9.0.0-9.0.5 | " PA-3200 系列 PA-5200 、系列和 PA-7000 系列防火墙运行 PAN-OS <8.1.11 |="" 9.0.5="">"仅")存在间歇性问题,即由于 WQE 重复的儿童会话导致的工作查询条目 ()损坏,进程("all_pktproc") 停止响应。</8.1.11> | 数据平面崩溃 | 在预测会话中传递数据包时崩溃 | 没有 | 8.1.12,9.0.6 和 9.1.0 |
| PAN-128269 | PA5200 系列仅 8.1.10-8.1.11 9.0.0-9.0.5 | PA-5250,, PA-5260 和 PA-5280 防火墙与100GB AOC 电缆只")当你升级第一个同行在高可用性 HA ()配置到 PAN-OS "[8.1.9-h4或以后 PAN-OS ]/[9.0]"版本,高速底盘互连 HSCI ()端口不会出现由于 FEC 不匹配,直到你完成升级第二个同行。 | HSCI 接口向下 | 受影响的内部芯片配置 AOC 模块 | 有关升级过程,请参阅技术支持,否则避免发布 | 8.1.12,9.0.6 和 9.1.0 |
| PAN-124481 | 9.0.0-9.0.4 | 修复了数据平面在使用会话时停止响应的问题 SMTP 。 | DP 崩溃/内部路径监视器故障 | MIME 边界被错误地计算 | app-覆盖smtp | 9.0.5 |
| PAN-126547 | 8.1.0-8.1.10 | 修复了在 XML API 提交过程中触发带有"类型=配置+行动+获取"的呼叫时,进程("配置")停止响应的问题。 | configd 崩溃 | 释放 xml 节点时,空未设置为指针 | 不要运行 xml api 以获得预定义的 xpath | 8.1.11 和 9.0.5 |
| PAN-120662 | PA-7000 仅系列( XM 卡不受影响) | ["PA-7000 仅使用 PA-7000 -20G-卡的系列防火墙 NPC "]修复了间歇性问题,其中内存外 OOM ()条件导致数据平面或内部路径监控停止响应。 | DP 崩溃/内部路径监视器故障 | 内存不足分配给 Linux 内核 | 无变通办法 | 8.1.11 和 9.0.4 |
| PAN-119862 | PA5050 仅 8.1.0-8.1.11 | 修复了间歇性问题,如果记忆外 OOM ()条件导致数据平面或内部路径监控停止响应。 通过此修复程序,会话容量将减少 400,000。 | DP 崩溃/内部路径监视器故障 | DP0 上的内存不足 | 无变通办法 | 8.1.11 |
| PAN-115695 | 8.0.x 8.1.0-8.1.9 9.0.0-9.0.3 | 修复了一个间歇性问题,即在确认完成之前收到大量数据包,这耗尽了描述队列条目,并导致数据传输期间延迟度高,即使 CPU 使用看起来正常 | 高数据包描述符和数据包缓冲区 | 因此,由于 ack 数据包,一个或几个具有攻击性的 TCP 会话可以占用所有描述符队列条目 | 清除导致问题的会话 | 8.1.10 和 9.0.4 |
| PAN-116613 | 8.0.x 8.1.0-8.1.8 9.0.0-9.0.3 | 修复 VM- firewall 了部署在 Microsoft Azure 中的系列中的问题,其中数据包因内核错误而无声地掉落 | 突发流量时流量下降 | 在 Azure 上处理中断流量时出现内核错误 | 无变通办法 | 8.1.9 和 9.0.4 |
| PAN-120194 | 8.1.5-8.1.9 9.0.0-9.0.3 | ("虚拟和 M-仅限系列 Panorama 电器和日志收集器")修复了关闭弹性搜索 ES () 指数继续接收和重新排队日志的问题,导致高 CPU 使用率。 | 日志摄入失败和高 CPU | 月度指数意外关闭 | 联系技术支持 | 8.1.10 和 9.0.4 |
| PAN-118407 | 8.1.0-8.1.8 9.0.0-9.0.3 | 修复了因缓冲区泄漏导致内部路径监控失败导致 firewall 重新启动的问题 | DP 由于内部数据包路径监控失败而重新启动 | 缓冲池的混乱 | 无变通办法 | 8.1.9 和 9.0.4 |
| PAN-117720 | 8.1.0-8.1.9 9.0.0-9.0.3 | ("GlobalProtect 仅限无客户端 VPN 环境") 修复了进程("all_pktproc")停止响应并导致 firewall 处理 GlobalProtect 无客户端流量时意外重新启动的问题 VPN 。 要利用此修复程序,您必须首先将"设备>动态更新")升级到 GlobalProtect 无客户端 VPN 内容发布 79 或稍后版本。 | DP 崩溃 | 使用大包处理无客户端 VPN 数据包时的例外 | 将无客户端VPN更改为 GP SSLVPN () 或降级至8.1.8或更旧 | 8.1.10 和 9.0.4 |
| PAN-113971 | 8.1.0-8.1.8 9.0.0-9.0.3 | ("PA-7000 仅限系列防火墙")修复了高速底盘互连 HSCI ()链接在重新启动后拍打的问题 firewall 。 | HSCI 皮 瓣 | 信号错误 SMC | 8.1.9 和 9.0.4 | |
| PAN-111708 | 8.1.0-8.1.8 9.0.0-9.0.2 | ("PA-3200 仅限系列防火墙")修复了一个罕见的软件问题,导致数据平面意外重新启动。 要利用此修复,您必须运行"调试数据平面集 pow 无删除是" CLI 命令(提高 CPU 利用率)。 | DP 崩溃 | CPUPA3200 中使用的去计划问题 | 无变通办法 | 8.1.9 和 9.0.3 |
| PAN-117729 | 仅 8.1.8 | 在 firewall 您启动提交后,修复了未正确显示的应用程序依赖性 警告("策略>安全")的问题 | 应用程序依赖项在提交时显示 | 由于修复不完整 PAN-98386 | 无变通办法 | 8.1.9 |
| PAN-107005 | PA3200 系列仅 8.1.0-8.1.4 9.0.0-9.0.2 | 修复了 PA-3200 系列防火墙上的问题,当 VSS- 外部设备附加监控以太网预告片时,数据包会掉落。 | L4检查失败 VSS 用于监控拖车和数据包掉落 | 网络卸载处理器丢弃数据包,因为它的 L4 检查验证 | 没有解决方法。升级 PANOS | 8.1.5 和 9.0.3 |
| PAN-112814 | 8.1.6-8.1.7 和 9.0.0-9.0.1 | 修复了基于 H 0.323 的电话丢失音频的问题,因为预测的 H 0.245 会话未转换为活动状态,导致 firewall H 0.245 流量下降。 | 预测会话失败 | 当预测会话由 S2C 流创建时, 预测会话无法创建, 并且是源 Nated | 不使用源 NAT | 8.1.8 和 9.0.2 |
| PAN-103023 | 8.0.14-8.1.15 8.1.2-8.1.6 | 修复了内容安装(内容)导致 firewall 配置故障和停止响应的间歇性问题 firewall 。 | FQDN 对象以0.0.0.0解决。并推至 DP 。这会导致交通问题 | 内容安装作业错误地涉及错误配置 | 强制或强制另一次 FQDN 刷新。 | 8.0.16 ,8.1.7 和 9.0.0 |
| PAN-108241 | PA-3200 系列/ 8.1.0-8.1.5 | 修复了 PA-3200 firewall 多个数据平面过程(all_pktproc、flow_mgmt、flow_ctrl和pktlog_forwarding)在流量超载时停止响应的系列问题。 | DP 崩溃 | 流 ager 过程双自由 | 启用软件 aho/dfa 和 pscan 可以大大减少看到问题的可能性。 | 8.1.6 和 9.0.0 |
| PAN-109594 | 8.0.14, 仅 8.1.5 | 修复了数据平面在 IPsec 重新键事件发生时重新启动的问题,并在一个(但不是两个) HA 同行运行 PAN-OS 8.0.14 或 8.1.5 时导致隧道过程 (tund) 故障 PAN-OS 。 | DP 在升级过程中,由于版本不匹配 HA 而重新启动 | DP 重新启动由于土堆崩溃,这是由宜克雷基在对造成 HA | 在升级 HA 同侪之前,暂时将 IKE 使用寿命调整为超过默认值的时间,以确保在升级过程中不会发生重键事件。 也可以在 HA 同行之间中断,并单独升级为独立升级。 | 8.0.15, 8.1.6 |
| PAN-108785 | PA3200 系列/ 8.1.0-8.1.5 | firewall在主动/被动配置中修复间歇性问题 HA ,其中 ping 测试因故障过后相应交换端口上的输入错误而停止在以太网 1/1、1/2 和 1/4 上响应 HA 。 | eth1/1,2,4 故障转移后传输的损坏数据包 HA | 接口初始化步骤后 HA ,故障转移称为不必要的指示 | 手动关闭/不关闭接口 | 8.1.6 和 9.0.0 |
| PAN-107791 | 8.1。4 | 修复了从 PAN-OS 8.1.3 升级到 8.1.4 CLI 后双因子管理员身份验证失败的问题。 | 2fa 失败 | 2fa 的套接字处理错误 | 没有一个 | 8.1.5 和 9.0.0 |
| PAN-107365 | 8.1。4 | 修复了 Panorama M- 系列和虚拟设备上的问题,在您更改模板并尝试推送到目标设备后,设备不会出现在推送范围选择列表中("将>推送到设备>编辑选择>设备组")。 | 无法在模板中指定设备 | php 代码中的异常 | 没有一个 | 8.1.5 |
| PAN-107271 | 8.1。4 | PA-3200 firewall PAN-OS 在 HA HA1-( B 备份)端口未按预期出现的配置中修复了运行8.1.4的系列问题。 | HA1B 端口无法使用 | 额外的修复 PAN-89402 | 对 HA1 使用其他接口 | 8.1.5 |
| PAN-100244 | 8.0.x,8.1.x | 修复了一个问题,如果提交或提交验证失败,然后是非用户承诺事件(如 FQDN 刷新、外部动态列表刷新或防病毒更新),则会导致导致流量下降的配置发生意外更改 firewall 。 | 由于应用错误导致流量下降 policy | 最后一个候选.xml已更改,在提交失败时不应发生该更改。该配置参与了下一个 FQDN / EDL 更新 | 执行手动 FQDN 刷新或提交似乎可以解决问题,直到下一次发生。 | 8.0.14,8.1.5 |
| PAN-100613 | 8.0.10-,8.1.2-8.1.4 | PA-5200 firewall 在高可用性 HA () 活动/活动配置中用虚拟线 (vwire) 子字面修复了系列上的问题,其中发送到对等防火墙的会话设置数据包以 HA2/HA3 比赛条件发回,导致数据包描述符增加,流量停止响应。 | 由于数据包描述符高,流量可能会间歇性地受到影响 | 由于会话设置上的竞争条件,影响数据包描述符的 HA2/HA3 中的数据包循环 | 第一个数据包/第一数据包的会话设置/所有者设置。否则,请使用主动/被动模式 | 8.1.5 |
| PAN-106016 | 8.0.x,8.1.x | 修复了 PA-800 系列防火墙上的一个问题,其中内核内存峰值导致 firewall 重新启动。 | 意外系统重新启动 | 内核内存不足 | 没有一个 | 8.0.14,8.1.5 |
| PAN-106936 | 8.0.x,8.1.x | 修复和问题,其中 PA-800 系列防火墙间歇性地重新启动由于内核错误。 | 意外系统重新启动 | 大量使用串行驱动程序导致手表狗超时 | 没有一个 | 8.0.14,8.1.5 |
| PAN-104116 | 8.1.3,8.0.12 | 解决了 hardware 数据包缓冲区泄漏导致 firewall 性能降低的问题。 | Hardware 数据包缓冲器耗竭 | 在极少数情况下, hardware 不会释放数据包缓冲区 | 没有一个 | 8.1.4,8.0.13
|
| PAN-103921 | PA-3200 系列/ 8.1.0-8.1.3 | 修复了 PA 3200 系列中 firewall 的数据平面因内部路径监控故障而发生故障的问题。 | 内部路径监视器故障 | 连接和之间的通信失败 MP DP | 没有 | 8.1.4 和 9.0.0 |
| PAN-103442 | PA-3200 系列/ 8.1.0-8.1.3 | 在 PA-3200 firewall 转发信息库 ()未正确更新的系列中修复了间歇性问题 FIB ,从而阻止了卸载流量的成功转发。 | 某些卸载的流量转发不正确。 | FIB DP由于编程错误,输入未正确更新 | 禁用会话卸载 | 8.1.4 和 9.0.0 |
| PAN-98116 | PA-3000 系列/ 8.1. 0-8. 1。2 | 修复了 PA-3000 系列防火墙在内容(应用和威胁)安装以及 FQDNRefresh 工作执行过程中通过数据平面("pan_comm") 过程中的文件描述符的问题,这导致 hardware 第 7 层引擎错误地识别应用程序。 | AppID-(L7流程)停止工作 DP 崩溃 | 负责提交的pan_comm过程中的文件描述符泄漏 DP | 没有一个 | 8.1。3 |
| PAN-99212 | 8.0.10-8.0.11 , 8.1. 0-8. 1。2 | 修复 firewall 了错误丢弃 ARP 的数据包并增加了"flow_arp_throttle"计数器的问题。 | ARP 不工作/交通停止 | ARP 数据包限制功能错误地计算了已检查的arp数量并丢弃arp数据包 | 没有 | 8.0.12 和8.1。3 |
| PAN-98397 | PA-3200 系列/ 8.1. 0-8. 1。2 | 修复了 PA-3200 系列防火墙上的问题,其中卸载处理器没有处理路由删除更新消息,这留下了陈旧的路由条目,并导致会话在会话卸载阶段变得无响应。 | 由于卸载芯片中的路由表问题导致数据包丢弃 | FIB 在卸载芯片 (FE100) 中,在路由删除后未正确更新 | 禁用会话卸载 | 8.1.3 |
| PAN-94912 | PA-5200 系列/ 8.0. 0-8. 0。9 8.1. 0-8. 1。1 | 修复了 PA-5200 系列和 PA-3200 系列防火墙在活动/活动高可用性 HA ()配置中在虚拟线材部署中向错误方向发送数据包的问题。 | MAC 拍打发生在近邻开关上。 可能会发生交通中断 | 在ha主动-活动vire的情况下,当设备通过ha3链接转发数据包时。在某些情况下,头信息设置正确,导致此类数据包被转发回 HA 给同行,而不是在本地转发。 | 在其中一种情况下 (00810651),禁用会话卸载已解决此问题。 | 8.0.10 和 8.1.2 |
| PAN-90890 | 8.0. 0-8. 0。9 8.1。0 | 当 ID 虚拟系统 ID 连接到多个带有管理器()的用户代理时,用户过程("使用ridd")停止响应的问题 NT LAN NTLM 已修复。 | useridd 过程崩溃/ Useridd 高文件描述符/Useridd 失 稳 | 连接状态的内存损坏 | 配置每个 NTLM vsys中仅启用一个用户ID代理。 | 8.0.10 和8.1。1 |
| PAN-93839 | PAN-3000系列和 PAN- 5000系列 / 8.0. 0-8. 0。9 8.1。0 | 修复了管理员 firewall 因间歇性导致持续重新启动进程的失忆状态而无法登录的问题 firewall 。 ( PAN-90143 在 PAN-OS 8.0.9 中提供了初始内存增强,减少了这些记忆外事件的频率。 | 内核中的低内存 MP 导致系统不稳定,如管理员登录失败 /内存不足 MP | PANOS8.x/9.x 上的 Linux 内核具有固定在主流 Linux 中的内存泄漏。 从主流 linux 内核中移植补丁。 | 重新启动系统 | 8.0.10 和8.1。1 |
| PAN-79989 | 8.0. 0-8. 0。8 | 修正了在具有自定义签名的防火墙上设置的问题, 在内存不足的情况下间歇性地导致提交或内容安装失败, 出现以下错误: "威胁数据库处理程序失败"。 | 提交失败 | devsrvr 使用分叉 () 系统调用来生成子进程 (tdb_compile), 以便在提交过程中编译内容。 当可用内存不足时, 此分叉 () 调用可能会失败, 这将导致提交或内容安装失败。 | 重新启动系统 | 8.1.0, 8.0。9 |
| PAN-90143 | PA-5000 系列/ 8.0. 0-8. 0.8 和8.1。0 | 修复了管理员间歇性地无法登录的问题 firewall ,因为它由于记忆外状态而断断续续地重新启动进程。 | 系统稳定性/系统无响应 | 内核追踪内存不断减少。 通过禁用页面移动性来更改内核配置可能会停止删除。 | 重新启动系统 | 8.1.1, 8.0。9 |
| PAN-92268 | PA-7000,PA5200,PA3200系列/ 7.1. 0-7. 1.16 和 8.0. 0-8. 0。8 | 在 PA-7000 对 PA-5200 PA-3200 设备或网络设置进行更改或安装内容更新时运行多个操作命令(来自任何 firewall 用户界面或 Panorama 管理服务器)时,一个或多个数据平面未通过流量,从而修复了系列、系列和系列防火墙上的问题。 | 流量下降 | Pancomm 的小姐编程使用错误的旁路队列 id | 如果发生这种情况, 请执行另一个提交。 | 8.1.0 ,8.0.9 和 7.1.17, |
| PAN-92564 | 8.0.0-8.0-8, 8.1.0 | Fix.在 SFP 升级 firewall SFP 连接到 [8.0 | 8.1] 版本后,一小部分可写第三方收发器(不是从 Palo Alto 网络®购买)停止工作或遇到其他问题的问题 PAN-OS 。 通过此修复,在 firewall 下载并安装 PAN-OS [8.0 | 8.1] 基图之前,您不得重新启动 [8.0 | 8.1] 基图,直到下载并安装 PAN-OS [8.0.9 |8.1.x] 发布。 有关其他详细信息、升级考虑和升级防火墙的说明,请参阅 PAN-OS 8.1 升级信息。 | 不受支持停止 SFP 工作 | SDK 插入了I2C读取错误。 这导致帕诺斯 8.0 (和初始 8.1.0) 使此 I2C 总线驱动程序在读取函数中具有此逻辑错误, 从而使控制器混乱到设备协议序列。 | 使用支持 SFP | 8.1. 18. 0。9 |
| PAN-89718 | PA-7000系列 / 8.0. 0-8. 0。7 和所有老干线 | 修复 PA-7000 了系列防火墙连续重新启动的问题,因为"brdagent"进程在启动过程中由于 HSCI 界面初始化而停止响应 | Firewall 重新 启动 | FPP 布尔达金特被绑起来初始化奇迹 PHys, 不能响应心跳。 结果它被 masterd 杀死了 | HSCI重新启动期间禁用端口或删除 HSCI QSFP +模块 | 8.1. 08. 0。8 |
| PAN-86882 | 8.0. 0-8. 0。7 和所有老干线 | 修复了 firewall 数据平面在使用嵌套通配符("*")与"或"/"作为自定义类别 URL 中的划界符 URL ("对象>自定义对象> URL 类别")或过滤配置文件的"允许列表 URL "(">安全配置文件> URL 过滤> URL- 过滤配置文件> >覆盖")中的"允许列表"中停止响应的问题。 使用此修复程序, 防火墙不允许在这种情况下使用嵌套通配符。 有关详细信息,请参阅NESTED WILDCARD"(*)"。 IN URLS MAY SEVERELY AFFECT PERFORMANCE | DP 由于自定义查找而崩溃并重新启动 URL | URL使用嵌套星号对自定义类别的配置错误会导致 DP cpu高负载 注意: 修复是额外的配置检查, 以防止 | 在配置中使用较少的星号。有关详细信息,请参阅说明中的链接 | 8.1. 08. 0。8 |
| PAN-83687 | 8.0. 0-8. 0。6 | 修复了 Panorama M- 系列设备上的问题,"配置"过程在"提交>提交和推送"操作中停止响应,将 Panorama 配置更改推送至收集器组。 | 配置崩溃
| 在提交期间,收集器设置下的表数据结构被销毁。 | 不要同时进行 Panorama 提交和收集组推送。 | 8.1. 08. 0。7 |
| PAN-85938 | 8.0. 0-8. 0。6 7.1. 0-7. 1.13 | 修复了在注销 PAN-OS IP GlobalProtect 后一秒内登录到内部网关的最终用户的地址到用户名映射的问题。 | 用户 ip 映射信息未正确生成 | 当 Global 保护注销/登录事件发生在同一秒时,用户 ID 中 firewall 无法确定这些事件的顺序,因为我们使用时间戳(第二粒度)来区分它们。 | 没有可用的解决方法 | 8.0. 77. 1.14 |
| PAN-82125 | PA-5000系列 / 8.0. 0-8. 0。6 | 修复了 firewall 管理平面或控制平面在升级到 PAN-OS 8.0 后连续重新启动的问题,并显示以下错误消息:"rcu_sched检测到 CPU/任务上的失速"。 | 续/ MP CP 重新启动 | i2c问题由于 SFP 模块持有总线,并导致i2c控制器重置无法完成。 | 使用支持 SFP | 8.1.0, 8.0。7 |
| PAN-82273 | 8.0. 0-8. 0.5, 7.1. 6-7. 1.13 | 修复了阻止代理会话以执行解密 policy 规则导致数据包缓冲器耗竭的问题,最终导致数据包丢失。 | Hardware 缓冲区泄漏问题,可能会影响任何类型的流量处理 DP | 由于 RST 作为强制执行(拒绝流量)的一部分生成的数据包缓冲区 policy 与未解密规则相结合而泄漏数据包缓冲区
| 1. 在 ssl 无解密规则中,在解密配置文件中从"无解密"中删除操作 OR 2. 更改拒绝规则 policy 在下降 |
8.0.6, 7.1.14 |
| PAN-84545 | PA-800 系列 / 8.0. 0-8. 0。5 | 修复了 PA-800 系列防火墙在重新启动之前变得无响应的问题,防火墙在重新启动后停止响应时不会生成任何日志。
| 系统无响应。无 CLI /控制台/平响应 需要手动重新启动才能从问题中恢复 | PA-800 使用专有的 MDIO 内核驱动程序。 此驱动程序中有一个 bug, 导致发生死锁情况。
| 无变通办法 | 8.0。6 |
| PAN-82830 | PA-5000 系列和 PA-3000 系列 / 8.0. 0-8. 0。5 | 修复了 PA-5000 PA-3000 内存不足的系列和系列防火墙短暂变得无响应、停止处理流量并停止生成日志的问题。
| Firewall "挂起",无法通过 SSH GUI /。 未写入日志, 并且没有管理控制台输出。 | 更大的内存占用量为 8.0, 导致问题。 | 降级为 7.1.x (仅在8.0.x 迄今报告的问题) |
8.0。6 |
| PAN-81100 | 具有低内存平台,如PA-200 和 M-100 主要。其他平台可能发生同样的问题 / 8.0. 0-8. 0。5 | 修复了 firewall Panorama 内存泄漏导致多个操作失败的问题和管理服务器上的问题,例如提交、 FQDN 刷新和内容更新。
| 提交失败和/或内存泄漏错误: 叉 () 失败! / 症状包括不承诺, GUI 反应迟钝, HA 配置同步失败, MP 内存泄漏, 戴蒙崩溃, 高 MP CPU 。 | 在 8.0, 我们升级到64位。 因此, virt 和 res 内存使用量将会略有上升。
| 上 M-100 ,升级到32GB内存应大大减少发生。 对于 PA-200 或其他平台,除了将降级到 7.1.x 之外,不存在任何解决方法。 |
8.0。6 |
| PAN-78718 | PA-7000 系列与 Panorama / 8.0. 0-8. 0。5 7.1. 0-7. 1.12, 7.0. 0-7. 0.18 | PA7050记录停止/日志崩溃 PA-7050 | LPC 管理 Panorama 服务器运行 PAN-OS 8.0 或更新后,由于内存泄漏而停止保存和显示新日志 | 这个问题通常发生在一个7K FW 运行7.x版本,这是由 Panorama 运行罗马(8.0)管理。 FW 处理 GTP 导致内存泄漏的报告定义失败。
| 从 Panorama 运行 8.0 (或更新) CLI 配置: 设置设备配置设置管理禁用预先定义报告 [gtp 欺骗端 - ip - ip - 恶意 wildfire - 提交顶部 gtp 攻击者顶部 - 受害者 gtp - 用户 - 访问 - 恶意 - url ] |
8.0.6, 7.1.13, 7.0.19 |
| PAN-82095 | 描述中列出的所有软件 QoS 平台 / 8.0.0 到8.0。5 7.1.0 到7.1.14 | 修复了 PA-3000 系列 PA-800 、系列 PA-500 PA-220 PA-200 和系列防火墙上的问题, VM- 其中 QoS 吞吐量落在配置为使用 QoS 配置的接口上,其"Egress Max"设置为 0Mbps 或超过 1143 Mbps("网络>网络配置文件> QoS 配置文件")。 | QoS 强制最大带宽,流量低于配置的流量 | 编码错误 limitting 最大值为1Gbps
| 将 QoS 带宽降低到1143兆秒以下, 降级为<=7.1.10 and/or=""></=7.1.10><=8.0.3></=8.0.3> |
8.0.6, 7.1.14 |
| PAN-82275 | VM-系列 / 8.0.0 至8.0。4 | VM 塞雷: 交通下降交通下降, 由于flow_qos_pkt_timeout | QoS 数据包在82天后不取消 | QoS 计时器变量未正确重置。 | 禁用 QoS 配置 |
8.0。5 |
| PAN-81590 | PA-5200 系列 / 8.0.0到 8.0.4 | 内部链接不稳定 DP 之间和 CE (内容引擎) | 影响5200平台。 即使 CE 系统发生故障,系统也可以继续启动。 这会导致第 7 层检查和 HA 病理监测器等问题, 控制平面 - 控制台输出.log显示以下错误: nac0: 内存通道不完整 | 它是内部链接问题 DP 和 CE
| 使用软件阿霍和 dfa。 >调试数据平面 fpga 集sw_aho是 >调试数据平面 fpga sw_dfa 是 |
8.0。5 |
| PAN-81990 | PA-5220,PA-5250 / 8.0.4 | DP按all_pktproc多次重新启动 | DP 崩溃由于小内存池大小在8.0.4。 只看到 PA-5220 和 PA-5250 。 同样的原因,其他症状,如 GP GlobalProtect () 连接下降和 SSL 解密流量故障可能发生 | 受影响平台上的固定内存池大小
| 使用其他平台,而不是 PA-5220 PA-5250 或。 或降级为8.0.3。 |
8.0。5 |
| PAN-78572 | M-系列 / 8.0.0到 8.0.4 | 在系列中记录高内存 M- | 典型症状 :-交通和威胁日志延迟 Panorama 24 小时。 -Oom内核崩溃 -提交失败 -内存分配失败 | 由于 evtmgr 队列中消息的索引开始生成。 这会导致 logd 中的内存积累, 导致索引进程无法启动。 | 无解决方法 |
8.0。5 |
| PAN-80445 | M-系列 / 8.0.0到 8.0.3 | 系列报告内存泄漏 M- | Reportd 内存增加, 直到你耗尽。 可能导致性能迟滞或管理能力丧失。 报告的内存泄漏仅在 M- 组合模式下的系列中发生。 | 修复 reportd 过程中的各种内存泄漏
| 不要使用组合模式。 使用专用日志收集器。 |
8.0.4 |
| PAN-74655 | 不特定于平台 / 7.0.x、 7.1.x | 处理 DP CPU 时间高,urlcache_lookup | DP过滤造成的高利用率和一般流量缓慢 URL 。 Urlcache 相关函数的处理时间在 "调试 dataplane 的性能" 中上升 | URL当缓存在缓存中超过 100 万个 URL MP 时,缓存会出现问题,而设备服务器正在消耗高 CPU。 DP 也消耗高 CPU 查找本地缓存增长大
| 清除 DP 和 MP 缓存 :>清除网址缓存所有 >删除网址数据库所有 |
PAN-DB 云更新在 2017 年 3 月
|