Безопасность : устройство защиты веб-трафика Cisco

Решите Adobe Updater Issues на WSA

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв

Введение

Этот документ описывает проблему, с которой встречаются с Cisco Web Security Appliance (WSA), когда Adobe Updater неспособен функционировать должным образом.

Внесенный Саймоном Пуцем и Сиддхартом Рэджпэзэком, специалистами службы технической поддержки Cisco.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного обеспечения и оборудования:

  • Adobe Updater, который соединяется с серверами загрузки на облаке Akamai

  • Cisco WSA

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Проблема

Adobe Updater неспособен загрузить обновления через WSA. Захват пакета, который взят на WSA, показывает это:

  • Adobe Updater используется для попытки загрузки запроса диапазона от Akamai-размещенного URL. Запрос диапазона является запросом HTTP, который включает заголовки, такие как Принимать-диапазоны: xxx и Диапазон: xxx, который указывает, что запрос для определенных байтов данных только.

  • По умолчанию WSA преобразовывает этот запрос диапазона в обычный запрос HTTP и выбирает все данные (вместо определенных байтов данных) от сервера Adobe Updater. Это происходит так, чтобы WSA мог выполнить оптимальное сканирование Антивируса.

  • WSA тогда передает 200 сообщений OK клиенту Adobe Updater. Это в соответствии с RFC, поскольку запросы диапазона могут запросить клиенты, но не все серверы требуются, чтобы поддерживать это. Поэтому клиент должен также обработать ответ недиапазона для запроса диапазона.

Клиент Adobe Updater, кажется, не поддерживает ответы недиапазона (такие как 200 OK) и предполагает, что они получат ответ диапазона (206 Частичного Содержания) от сервера, поскольку серверы Adobe Updater поддерживают их.

Сообщается в RFC 7233, что "Серверы свободны проигнорировать Диапазон, много реализаций просто ответят всем выбранным представлением в 200 (OK) ответ". Однако и сервер и клиент находятся в собственности Adobe в этом случае, таким образом, Adobe имеет право не принять полное (200) ответ.

Решение

Можно включить запросы диапазона на WSA так, чтобы он отправил запросы диапазона к серверам и ответы диапазона клиенту. Для включения запросов диапазона введите rangerequestdownload команду в CLI и передайте все изменения.

Например:

wsa100v.local> rangerequestdownload

Range requests are currently Disabled.
Enabling range requests may allow malware to slip through. Range requests
may not be honored if using Application Visibility and Control.
Are you sure you want to change the setting? [N]> y

wsa100v.local> commit

Please enter some comments describing your changes:
[]> range request enabled

Changes committed: Mon Jun 29 22:42:28 2015 EDT

Как только загрузка запроса диапазона включена на WSA, клиент Adobe Updater должен работать должным образом.



Document ID: 118158