Viktig uppdatering för Palo Alto Networks-kunder
Den här uppdateringen påverkar dig om du har en Palo Alto Networks-brandvägg eller Panorama som används för någon av följande tjänster:
Scenario 1
- Data redistribution (User-ID, IP-tag, User-tag, GlobalProtect HIP, och/eller quarantine list)
- URL PAN-DB private cloud (M-Series)
- WildFire private cloud appliance (WF500/B)
Scenario 2
- WildFire/Advanced WildFire Public Cloud
- URL/Advanced URL Filtering
- DNS Security
- ThreatVault
- AutoFocus
(Läs mer om respective scenario längre ner.)
Vad som ändrats:
Den 31 december 2023 upphör rotcertifikatet och standardcertifikatet för PAN-OS att gälla. Om de inte förnyas kommer brandväggar och Panorama att förlora anslutningen till Palo Alto Networks molntjänster och påverka nätverkstrafiken, vilket kan orsaka ett avbrott i de berörda tjänsterna.
Målversioner
Tabellen nedan innehåller målversionerna för både scenario 1 och scenario 2.
Current PAN-OS Version | Upgrade Target Version |
8.1 | 8.1.21-h1* 8.1.25-h1* or greater |
9.0 | 9.0.16-h5 or greater |
9.1 | 9.1.11-h4 9.1.12-h6* 9.1.13-h4* 9.1.14-h7 9.1.16-h3 9.1.17 or greater |
10.0 | 10.0.8-h10* 10.0.11-h3* 10.0.12-h3* or greater |
10.1 | 10.1.3-h2 10.1.5-h3* 10.1.6-h7 10.1.8-h6 10.1.9-h3 10.1.10 or greater |
10.2 | 10.2.3-h9 10.2.4 or greater |
11.0 | 11.0.0-h1 11.0.1-h2 11.0.2 or greater |
11.1 | 11.1.0 or greater |
* Hotfix-versioner med en asterisk har inte släppts. Vi siktar på att alla hotfixar ska släppas senast den 17 november 2023. Detta datum kan komma att ändras. Vi fortsätter att uppdatera den här rekommendationen och tar bort * (asterisk) och ersätter den med det datum då hotfixen släpptes. Du får ett meddelande om att hotfixen har släppts via e-post om du har konfigurerat Inställningar i ditt CSP-konto och markerat kryssrutan för ”Prenumerera på e-postmeddelanden om programuppdateringar” och klickat på ”skicka”.
Åtgärd krävs:
Utvärdera om du påverkas enligt övervägandena nedan och vidta åtgärder om det behövs.
Beroende på vilka tjänster du använder måste du vidta åtgärder som beskrivs i ett eller båda scenarierna nedan:
Scenario 1
Om du är en kund med datadistribution (användar-ID, IP-tagg, användartagg, GlobalProtect HIP och/eller karantänlista) måste du vidta någon av följande två åtgärder: (1a) uppgradera dina berörda brandväggar och Panorama (hanterings- och logginsamlarlägen ), ELLER (1b) distribuera anpassade certifikat till dina berörda brandväggar och Panorama (hanterings- och logginsamlarlägen ).
Om du är kund med URL PAN-DB privat moln (M-serien) eller WildFire privat molninstallation (WF500/B) måste du vidta följande åtgärd: (1a) uppgradera dina berörda brandväggar, WF-500s, M-serien och Panorama (hanterings- och logginsamlarlägen).
- Uppgradera dina påverkade brandväggar, WF-500, M-serien och Panorama
- Om du inte har anpassade certifikat installerade måste du uppgradera alla brandväggar, WF-500s, M-serien och panoraman (hanterings- och logginsamlarlägen) som deltar i datadistribution (användar-ID, IP-tagg, användartagg, GlobalProtect HIP och/eller karantänlista), URL PAN-DB privat moln (M-serien) och/eller WildFire privata moln (WF500/B) till en av PAN-OS-versionerna i tabellen Target Upgrade Version som nämns ovan.
- Distribuera anpassade certifikat till dina berörda brandväggar och Panorama
- Omfördelning av data (användar-ID, IP-tagg, användartagg, GlobalProtect HIP och/eller karantänlista): Om alla brandväggar och Panorama i nätverket kör PAN-OS version 10.0 eller senare kan du växla till anpassade certifikat för omdistribution av data i stället för standardenhets- och rotcertifikat. Mer information om hur du konfigurerar anpassade certifikat för omdistribution av data finns i följande artikel, steg 8 och 9.
Viktigt!: Du måste växla till anpassade certifikat på datadistributionsagenten och klienten för säker server- och klientkommunikation. - WildFire privat moln (WF500/B): Anpassade certifikat är inte ett alternativ.
- URL PAN-DB privat moln (M-serien): Anpassade certifikat är inte ett alternativ.
- Omfördelning av data (användar-ID, IP-tagg, användartagg, GlobalProtect HIP och/eller karantänlista): Om alla brandväggar och Panorama i nätverket kör PAN-OS version 10.0 eller senare kan du växla till anpassade certifikat för omdistribution av data i stället för standardenhets- och rotcertifikat. Mer information om hur du konfigurerar anpassade certifikat för omdistribution av data finns i följande artikel, steg 8 och 9.
Scenario 2
Om du är kund hos Wildfire Public Cloud, Advanced WildFire Public Cloud, URL-filtrering, avancerad URL-filtrering, DNS-säkerhet, ThreatVault eller AutoFocus måste du vidta någon av följande tre åtgärder: (2a) installera en specifik innehållsuppdatering på dina berörda brandväggar och Panorama, ELLER (2b) uppgradera dina berörda brandväggar och Panorama, ELLER (2c) aktivera enhetscertifikat på din berörda brandväggar och panoramabilder.
- Installera en specifik innehållsuppdatering på dina berörda brandväggar och Panorama.
Du måste installera följande innehållsuppdateringsversion (8776-8390 eller senare) på brandväggarna och Panorama.- Om du har konfigurerat automatiskt innehåll kommer den här uppdateringen att ske automatiskt
- Om du uppdaterar ditt innehåll manuellt ska du uppdatera ditt innehåll till innehållsversionen ovan
- Uppgradera dina berörda brandväggar och PanoramaUppgradera din brandvägg och Panorama till en av PAN-OS-versionerna i måluppgraderingsversionerna som nämns ovan.
- Aktivera enhetscertifikat på dina berörda brandväggar och Panorama
- Om du har brandväggar och Panorama som kör PAN-OS 8.1, 9.0 eller 9.1 rekommenderas inte den här metoden.
- Om du har brandväggar och Panorama som kör PAN-OS 10.0.5, 10.1.10, 10.2.5 och 11.0.2 eller senare, följ instruktionerna på dokumentationssidan för att aktivera enhetscertifikatet.
Länk till Palo Alto Networks LiveCommunity (Inloggning) LIVEcommunity – Emergency Update Required – PAN-OS Root and Default Certificate Expiration – LIVEcommunity – 564672 (paloaltonetworks.com)