GUARDIANWALL V7.4 にて
『アップデートモジュール 20130517』
適用後、グループに登録するアドレス数が多い場合にグループの登録/更新がエラーとなる事象が確認されました。
また、GUARDIANWALL、WEBGUARDIAN における他の画面についても同様の事象が発生する場合がございます。
大変お手数おかけして申し訳ございませんが、下記内容をご確認いただきますようお願いいたします。
1 対象バージョン
本案内事項は、以下の製品・バージョンを対象としております。
製品名 |
バージョン |
GUARDIANWALL |
7.4.00 (Linux版) 『アップデートモジュール 20130517』が適用された環境
|
WEBGUARDIAN |
3.6.00 (Linux版) 『アップデートモジュール 20130517』が適用された環境
|
2 内容
GUARDIANWALL において、管理画面 [メール] - [ポリシー設定] - [グループ] でのグループの登録/更新時に、
アドレスリストに大量(約 1000 件以上)のメールアドレスを登録した状態でグループの登録または更新を実行しようとすると、
「不正なアクセスです」というメッセージが表示され、編集内容の反映ができません。
また、上記 GUARDIANWALL のグループ設定画面以外の一部の画面についても同様の事象が発生いたします。
詳細は「4 発生画面一覧」をご参照ください。
本事象の原因として、
『アップデートモジュール 20130517』にて脆弱性対応のために PHP のバージョンアップを実施いたしました。
これにより hashdos 脆弱性対策として PHP に max_input_vars パラメータ(入力データ数の制限値、デフォルト 1000)が追加され、
グループに大量のメールアドレスを登録しようとすると PHP の本制限値に抵触します。
※PHP による入力データ数の制限値は 1000 件ですが、グループ登録処理においてメールアドレス以外の入力データが存在するため、
メールアドレス登録数が 1000 件未満のグループを登録する場合にも PHP エラーとなる場合があります。
3 回避策
約 1000 件以上の大量のメールアドレスをグループに登録する場合には、
下記(1)、(2)いずれかの手順にて本不具合を回避していただくようお願いいたします。
(1) グループ定義ファイルのアップロード
グループ定義ファイルをダウンロードし、テキストエディタ等で編集してアップロードすることで、グループの登録が可能です。
-
管理画面 [メール] - [ポリシー設定] - [グループ] - [ダウンロード] より、編集するグループのグループ定義ファイルをダウンロードします
(グループを新規作成する場合は管理画面上から雛型となるグループを作成して、そちらをダウンロードします)
-
ダウンロードしたグループ定義ファイルをテキストエディタ等で編集し、登録したいメールアドレスを記述します
-
管理画面 [メール] - [ポリシー設定] - [グループ] - [アップロード] より、編集後のグループ定義ファイルをアップロードします
(2) max_input_vars 設定値の緩和
PHP の max_input_vars パラメータの設定値を変更することで、管理画面からアドレス数が多いグループの登録が行えるようになります。
ただし、本設定値を変更した場合、hashdos 攻撃に脆弱となりますことを予めご了承ください。
-
管理サーバの設定ファイルを編集し、max_input_vars 設定を追記します
設定ファイル:
/opt/Guardian/Admin/php/conf/php.ini
追記する設定:
max_input_vars = (設定したいメールアドレス数+100)
※メールアドレス以外の入力データが存在するため、設定値に 100 の余裕を持たせています。
設定例(グループにメールアドレスを 8000 件登録したい場合):
max_input_vars = 8100
-
管理サーバで以下のコマンドを実行し、管理サーバのサービスを再起動します
# /etc/init.d/Guardian.admin stop
# /etc/init.d/Guardian.admin start
※再起動中は、GUARDIAN 管理画面へのアクセスができません。なお、メールの中継には影響ございません。
恒久対策としまして、本事象に対応する修正物件を提供させていただく予定です。
恐れ入りますが提供時期は未定となります。
4 発生画面一覧
以下、製品ごとの本事象が発生する管理画面およびその内容となります。
いずれの画面におきましても、「3. 回避策」の「(2)max_input_vars 設定値の緩和」に記載の方法で回避可能です。
表 GUARDIANWALL における発生画面一覧
No |
発生画面 |
内容 |
運用回避策 |
1 |
利用者管理 - [共通] - [利用者管理] - [情報管理者]/[部門情報管理者]/[システム管理者] 画面からの LDAP インポート画面
|
約 1000 個以上の管理者の同時登録に失敗します。また、失敗した場合でも画面上にはエラー等が表示されません。
|
一度に登録する管理者数が 900 程度になるよう分割して登録して ください。
|
2 |
[共通] - [管理サーバー管理] - [拡張機能] - [スケジューラー] - [メールグループ更新]
|
「パラメータ>対象グループ>指定したグループ」で約 1000 以上のグループを選択して登録しようとすると、
「不正なアクセスです。」というエラー画面が表示されて登録ができません。
|
指定したグループを 900 程度ずつに分割してスケジュール登録を実施してください。
|
3 |
[メール] - [ポリシー設定] - [グループ] 画面からのエントリーの新規登録、または編集画面
|
約 1000 件以上のメールアドレスを登録しようとすると、「不正なアクセスです」というエラー画面が表示されて登録ができません。
|
グループ定義ファイルをダウンロードし、編集後アップロードしてください。
|
4 |
[メール] - [ポリシー設定] - [MIME タイプ]
|
約 1000 件以上の MIME タイプセットを一括で削除しようとすると、「不正なアクセスです」というエラー画面が表示されて削除ができません。
|
一度に削除する MIME タイプセットが 900 程度になるよう分割して削除してください。
|
5 |
[メール] - [ポリシー設定] - [キーワード]
|
約 1000 件以上のキーワードセットを一括で削除しようとすると、「不正なアクセスです」というエラー画面が表示されて削除ができません。
|
一度に削除するキーワードセットが 900 程度になるよう分割して削除してください。
|
表 WEBGUARDIAN における発生画面一覧
No |
発生画面 |
内容 |
運用回避策 |
1 |
利用者管理 - [共通] - [利用者管理] - [情報管理者]/[部門情報管理者]/[システム管理者] 画面からの LDAP インポート画面
|
約 1000 個以上の管理者の同時登録に失敗します。また、失敗した場合でも画面上にはエラー等が表示されません。
|
一度に登録する管理者数が 900 程度になるよう分割して登録して ください。
|
2 |
[共通] - [管理サーバー管理] - [拡張機能] - [スケジューラー] - [ウェブグループ更新]
|
「パラメータ>対象グループ>指定したグループ」で約 1000 以上のグループを選択して登録しようとすると、
「不正なアクセスです。」というエラー画面が表示されて登録ができません。
|
指定したグループを 900 程度ずつに分割してスケジュール登録を実施してください。
|
3 |
[共通] - [検査サーバー管理] - [個別設定] - 種別:ウェブの[設定] - [プロキシー設定]
|
「アクセス許可ホスト」「フォワード対象外ホスト」「SSL 接続許可ポート」の設定数の合計が約 1000 件以上の場合に、
「不正なアクセスです」というエラー画面が表示されて登録ができません。
|
ネットワークアドレスやドメイン名を指定して、エントリー数を削減してください。
|
4 |
[ウェブ] - [ポリシー設定] - [グループ] 画面からのエントリーの追加、または編集画面
|
「認証名リスト」「IP アドレス/ネットワークアドレス」「User-Agent」の設定数の合計が約 1000 件以上の場合に、
「不正なアクセスです」というエラー画面が表示されて登録ができません。
|
グループ定義ファイルをダウンロードし、編集後アップロードしてください。
|
5 |
[ウェブ] - [システム管理] - [サービス設定] - [ウェブメール] 画面からのエントリーの編集画面
|
添付フィールドを約 1000 件以上登録しようとすると、「不正なアクセスです」というエラー画面が表示されて登録ができません。
|
運用回避策はありません。
|