Sophos UTM: IPS zawiesza się po aktualizacji do wersji 9.719

Status: Aktualnie obserwowany

Po zaktualizowaniu Sophos UTM do wersji 9.719, a więc najnowszej, aplikacja IPS/Snort ulega awarii. W trakcie ponownego uruchamiania silnika produktu możesz zaobserwować tymczasowe problem z obsługą ruchu. Poniżej znajdują się informacje dotyczące tego, jak zapobiec awarii IPS po aktualizacji.

Produkty i środowisko

Sophos UTM 9.719

Chronologia wystąpienia i analizy problemu
  • 09.03.2024 08:00 UTC: Sophos wydał poprawkę (pattern update) rozwiązującą problem.
  • 08.03.2024 19:00 UTC: Producent opublikował niniejsze zalecenie zawierające tymczasowe rozwiązanie.
  • 08.03.2024 17:06 UTC: Zespół deweloperski zidentyfikował przyczynę awarii oraz przygotował rozwiązanie tymczasowe.
  • 08.03.2024 13:10 UTC: Informacja o problemie dotarła do zespołu deweloperskiego.
Wpływ

Awaria IPS/Snort powoduje chwilową przerwę w obsłudze ruchu podczas restartu silnika.

Informacje o wersji

Ten problem dotyczy tylko wersji Sophos UTM 9.719, a więc najnowszej.

Rozwiązanie

Wydano poprawkę (pattern update), która naprawia ten problem.

Użyj poniższej komendy do sprawdzenia wersji u2d-ipsbundle, aby sprawdzić, czy poprawka została zainstalowana w Twoim systemie,

# rpm -qa |grep u2d-ipsbundle2
u2d-ipsbundle2-64-9-849
Rozwiązanie tymczasowe:
  • Zaloguj się do konsoli Sophos UTM, a następnie uruchom poniższą komendę:
    • cc set ips snortsettings disable_normalization 1
  • Potwierdź dokonanie zmiany, upewniając się, że wartość ustawiona jest na „1” za pomocą poniższej komendy:
    • cc get ips snortsettings disable_normalization
  • W wyniku tej operacji silnik IPS uruchomi się ponownie, co chwilowo wpłynie na obsługę ruchu.
  • Zespół deweloperski jest w trakcie badania głównej przyczyny problemu.

Gdy pojawi się aktualizacja, postaramy się dodać nowe informacje do tego artykułu.


Jednocześnie przypominamy, że dla Sophos UTM producent ogłosił End of Life. Wszystkich klientów zainteresowanych pozostaniem przy rozwiązaniach Sophos, zachęcamy do migracji do nowej serii Sophos Firewall. Nie masz pojęcia jak to zrobić? Skontaktuj się z nami – doradzimy, pomożemy i przeprowadzimy Cię krok po kroku przez ten proces,