Seguridad : Dispositivo de seguridad web Cisco

Problemas del Updater de Adobe de la resolución en el WSA

17 Octubre 2016 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Agosto 2015) | Comentarios

Introducción

Este documento describe un problema que se encuentre con el dispositivo de seguridad de la red de Cisco (WSA) cuando el Updater de Adobe no puede funcionar correctamente.

Contribuido por Simon Putz y Siddharth Rajpathak, ingenieros de Cisco TAC.

Prerrequisitos

Requisitos

No hay requisitos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Updater de Adobe que conecta con los servidores de la descarga en la nube de Akamai

  • Cisco WSA

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Problema

El Updater de Adobe no puede descargar las actualizaciones con el WSA. Una captura de paquetes que se toma en el WSA revela esto:

  • El Updater de Adobe se utiliza para intentar una descarga de la petición del rango de un URL Akamai-recibido. La petición del rango es un pedido de HTTP que incluye las encabezados tales como Validar-rangos: xxx y rango: xxx, que indica que la petición está para los bytes de dato específicos solamente.

  • Por abandono, el WSA convierte esta petición del rango en un pedido de HTTP normal y trae todos los datos (en vez de los bytes de dato específicos) del servidor del Updater de Adobe. Esto ocurre de modo que el WSA pueda realizar la exploración anti-Malware óptima.

  • El WSA entonces envía un mensaje de 200 AUTORIZACIONES al cliente del Updater de Adobe. Esto está de acuerdo con el RFC, pues las peticiones del rango se pueden pedir por los clientes, pero no todos los servidores se requieren para soportar esto. Por este motivo, el cliente debe también manejar una respuesta del NON-rango para una petición del rango.

El cliente del Updater de Adobe no parece soportar las respuestas del NON-rango (tales como la AUTORIZACIÓN 200) y asume que recibirá una respuesta del rango (contenido parcial 206) del servidor, como los servidores del Updater de Adobe lo soportan.

Se expone en el RFC 7233 que los “servidores están libres de ignorar el rango, muchas implementaciones responderá simplemente con la representación seleccionada entera en una respuesta (ACEPTABLE) 200.” Sin embargo, Adobe-poseen el servidor y al cliente en este caso, así que Adobe tiene el derecho de no validar (las 200) respuestas completa.

Solución

Usted puede habilitar las peticiones del rango en el WSA de modo que envíe las peticiones del rango a las respuestas de los servidores y del rango al cliente. Para habilitar las peticiones del rango, ingresar el comando del rangerequestdownload en el CLI y confiar todo cambia.

Aquí tiene un ejemplo:

wsa100v.local> rangerequestdownload

Range requests are currently Disabled.
Enabling range requests may allow malware to slip through. Range requests
may not be honored if using Application Visibility and Control.
Are you sure you want to change the setting? [N]> y

wsa100v.local> commit

Please enter some comments describing your changes:
[]> range request enabled

Changes committed: Mon Jun 29 22:42:28 2015 EDT

Una vez que la descarga de la petición del rango se habilita en el WSA, el cliente del Updater de Adobe debe trabajar correctamente.



Document ID: 118158