Date: 2019.08.10
Home / UTM Firewall. / おうちでUTM F/W - SophosのAVスキャンエンジンを使用しているとHTTPサイトがブロックされる不具合が発生中。
本日未明頃からSophos XG Firewallで、SophosのAVスキャンエンジンを使用した状態でHTTPスキャンを有効にしているとHTTPサイトが見れず、Webの例外で「マルウェアスキャンとコンテンツスキャン」を除外している等を除き、全滅しています。

何時頃か忘れたけど深夜に急にブロックされるサイトが出てて、その時のブラウザ上に表示されるエラーメッセージが「The requested content could not be scanned for malware. It may be corrupted or encrypted.」で何かスキャンに失敗してるっぽいなーと。
まあ、暫くしたらなおるかなと一旦放置してたんですが、夕方に改めて同じ事象が出てて仕方ないので調査。




まあ、すぐに分かったんですけどね。
XG Firewall側のマルウェアログ見たら予想に反して大量に「Unscannable」でブロックされてるし・・・
どうやら裏で動いている未だにHTTPを使ってるアップデート系とかが止められてた為でした。

で、これはもうあれだ、NetScreen SSGのUTMでもたまに起こしてくれてたパターンファイルの不具合だろうって察しがついたのでSophosのコミュニティ覗いたら案の定騒がれてた。

Sophos AV engine broken? - Sophos Community

なお、AVスキャンエンジンを「Avira」の方に変更したら回避はできます。(パターンファイルも別だから。)
もしくは「マルウェアスキャンでエラーが発生したときのアクション」を許可にしても回避はできる気がするけどリスクも上がるので推奨はされないけど。

この手の不具合は過去に何度となく経験してるけどリリース前にテストしないのかね・・・

【追記】
恐らく発生はSophos AVのバージョン「1.0.14436」から発生、その後更に「1.0.14437」に上がってるけど直ってない。

【更に追記】
Sophos AVバージョン「1.0.14439」で復旧しました。


Secret

TrackBackURL
→https://000dandelion000.blog.fc2.com/tb.php/341-9b413598