Безопасность : устройство защиты веб-трафика Cisco

Решите Adobe Updater Issues на WSA

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Отзыв

Введение

Этот документ описывает проблему, с которой встречаются с Cisco Web Security Appliance (WSA), когда Adobe Updater неспособен функционировать должным образом.

Внесенный Саймоном Пуцем и Сиддхартом Рэджпэзэком, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • Adobe Updater, который соединяется с серверами загрузок на облаке Akamai

  • Cisco WSA

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Проблема

Adobe Updater неспособен загрузить обновления через WSA. Захват пакета, который взят на WSA, показывает это:

  • Adobe Updater используется для попытки загрузок запроса диапазона от Akamai-размещенного URL. Запрос диапазона является запросом HTTP, который включает заголовки, такие как Принимать-диапазоны: xxx и Диапазон: xxx, который указывает, что запрос для определенных байтов данных только.

  • По умолчанию WSA преобразовывает этот запрос диапазона в обычный запрос HTTP и выбирает все данные (вместо определенных байтов данных) от сервера Adobe Updater. Это происходит так, чтобы WSA мог выполнить оптимальное сканирование Антивируса.

  • WSA тогда передает 200 ОК сообщение клиенту Adobe Updater. Это в соответствии с RFC, поскольку запросы диапазона могут запросить клиенты, но не все серверы требуются, чтобы поддерживать это. Поэтому клиент должен также обработать ответ недиапазона для запроса диапазона.

Клиент Adobe Updater, кажется, не поддерживает ответы недиапазона (такие как 200 ОК) и предполагает, что это получит ответ диапазона (206 Частичного Содержания) от сервера, поскольку серверы Adobe Updater поддерживают его.

Сообщается в RFC 7233, что "Серверы свободны проигнорировать Диапазон, много реализаций просто ответят всем выбранным представлением в 200 (ОК) ответ". Однако и сервер и клиент находятся в собственности Adobe в этом случае, таким образом, Adobe имеет право не принять полное (200) ответ.

Решение

Можно включить запросы диапазона на WSA так, чтобы он отправил запросы диапазона к серверам и ответы диапазона клиенту. Для включения запросов диапазона введите команду rangerequestdownload в CLI и передайте все изменения.

Например:

wsa100v.local> rangerequestdownload

Range requests are currently Disabled.
Enabling range requests may allow malware to slip through. Range requests
may not be honored if using Application Visibility and Control.
Are you sure you want to change the setting? [N]> y

wsa100v.local> commit

Please enter some comments describing your changes:
[]> range request enabled

Changes committed: Mon Jun 29 22:42:28 2015 EDT

Как только загрузки запроса диапазона включены на WSA, клиент Adobe Updater должен работать должным образом.


Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.