Documentação do Oracle Cloud Infrastructure

Diagnosticando e Solucionando Problemas do serviço Vulnerability Scanning

Use informações de diagnóstico e solução de problemas para identificar e tratar problemas comuns que podem ocorrer ao trabalhar com o Oracle Cloud Infrastructure Vulnerability Scanning Service.

Não é Possível Criar Receitas de Verificação ou Destinos de Verificação

Corrija problemas que impeçam você de criar receitas de verificação ou destinos de verificação para verificações de computação (host) ou imagem.

Para criar uma receita de Verificação de Vulnerabilidade ou um destino de Verificação de Vulnerabilidade, você deve receber o tipo necessário de acesso em uma política (IAM) criada por um administrador, quer você esteja usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta.

  1. Use a documentação a seguir para verificar se você tem as políticas necessárias para criar receitas e destinos de verificação de computação e imagem.
    1. Política de IAM Obrigatória para Receitas de Verificação de Computação
    2. Política Obrigatória do Serviço IAM para Receitas de Verificação de Imagem
  2. Adicione as políticas obrigatórias ausentes.

Nenhum Resultado de Verificação de Vulnerabilidade

Corrija os problemas gerais que o impeçam de ver qualquer tipo de relatório de Verificação de Vulnerabilidade.

O Destino Foi Criado Há Menos de 24 Horas

Após você criar um destino, o serviço Vulnerability Scanning não verifica imediatamente os recursos de destino especificados.

Depois de criar um destino associado à sua receita, pode levar até 24 horas para que o serviço Vulnerability Scanning execute a primeira verificação dos recursos de destino. Para destinos de Computação, esse atraso ocorrerá se você tiver configurado sua receita com uma programação Diária ou uma programação Semanal.

Aguarde 24 horas e verifique os resultados da verificação.

Política do Serviço IAM Ausente

Para exibir qualquer tipo de relatório de Verificação de Vulnerabilidade, você deve receber o tipo necessário de acesso em uma política (IAM) criada por um administrador, quer você esteja usando a Console ou a API REST com um SDK, uma CLI ou outra ferramenta.

Por exemplo, para permitir que os usuários do grupo SecurityAuditors exibam todos os recursos de Verificação de Vulnerabilidade no compartimento SalesApps:

Allow group SecurityAuditors to read vss-family in compartment SalesApps

Verifique se você tem as políticas necessárias para exibir os resultados da verificação. Consulte Políticas do IAM no Vulnerability Scanning.

Compartimento Incorreto Especificado

Na Console, certifique-se de escolher o Compartimento que contém os resultados da Verificação de Vulnerabilidade para os destinos que você deseja exibir.

O serviço Vulnerability Scanning salva os resultados de uma instância do serviço Compute no mesmo compartimento que o destino de Verificação de Vulnerabilidade da instância.

Considere o exemplo a seguir.

  • A instância do serviço Compute MyInstance está em CompartmentA.
  • MyInstance é especificado em Target1.
  • Target1 está em CompartmentB.
  • Todos os relatórios relacionados a MyInstance estão em CompartmentB.

O serviço Vulnerability Scanning salva os resultados de um repositório de imagens no mesmo compartimento do destino do repositório Vulnerability Scanning.

Considere o exemplo a seguir.

  • O repositório MyRepo no Container Registry está em CompartmentA.
  • MyRepo é especificado em Target1.
  • Target1 está em CompartmentB.
  • Todos os relatórios relacionados a MyRepo estão em CompartmentB.
Na Console, vá para Relatórios de Verificação e certifique-se de que o compartimento correto esteja selecionado. Consulte Verificando Relatórios.

Todos os Recursos da Receita estão Desativados

Se você criou uma receita no serviço Vulnerability Scanning, mas desativou todas as opções de verificação na receita, o serviço Vulnerability Scanning não verificará os destinos designados a essa receita.

Na Console, vá para a receita e ative as opções de verificação necessárias. Consulte:

Nenhuma Verificação de Host

Corrija os problemas que impeçam que você veja os resultados das verificações de host para destinos do serviço Compute.

Se seu problema não estiver listado aqui, consulte Nenhum Resultado de Verificação de Vulnerabilidade para obter outros problemas comuns de verificação.

A Verificação Baseada no Agente não Está Ativada

Para criar varreduras de host, o serviço Vulnerability Scanning usa o Oracle Cloud Agent, que é executado nas instâncias do serviço Compute de destino. Por padrão, a opção Verificação Baseada em Agente é ativada em uma receita. Se você desativar essa opção em sua receita, o serviço Vulnerability Scanning não criará verificações de host para os destinos associados à sua receita.

Na Console, vá para a receita e ative as opções de verificação necessárias. Consulte Editando uma Receita de Verificação de Computação.

O Plug-in do Scanning Está Desativado no Agente

O processo do Oracle Cloud Agent gerencia plug-ins em execução na instância do serviço Compute. O plug-in do serviço Vulnerability Scanning é usado para detectar vulnerabilidades e para testar benchmarks do CIS. Por padrão, o plug-in de Verificação de Vulnerabilidade é ativado em todas as instâncias que executam o agente, mas o plug-in pode ser desativado.

Se você tiver desativado manualmente o plug-in de Verificação de Vulnerabilidade nas instâncias do serviço Compute de destino, deverá ativá-lo.

Ative o plug-in de Verificação de Vulnerabilidade nas instâncias do serviço Compute de destino. Consulte Oracle Cloud Agent.

Política do IAM Ausente para Implantar o Agente

Se as instâncias do serviço Compute de destino não estiverem executando o Oracle Cloud Agent, o serviço Vulnerability Scanning implantará automaticamente o agente nas instâncias. No entanto, um administrador deve conceder ao serviço Vulnerability Scanning permissão para atualizar suas instâncias do serviço Compute de destino.

Verifique se o serviço Vulnerability Scanning tem as políticas necessárias para atualizar suas instâncias de computação de destino. Consulte Política de IAM Obrigatória para Receitas de Verificação de Computação

A Instância Não Está Executando o Agente Mais Recente

Se a instância do serviço Compute de destino estiver executando o Oracle Cloud Agent versão 1.11.0, pode ser que ela não seja atualizada automaticamente para a versão mais recente.

Atualize manualmente o Oracle Cloud Agent na instância. Consulte:

Gateway de Serviço Ausente para Instâncias sem Endereço IP Público

Uma instância do serviço Compute está associada a uma Rede Virtual na Nuvem (VCN) e uma sub-rede . Se uma instância no destino estiver em uma sub-rede privada ou não tiver endereço IP público, a VCN deverá incluir um gateway de serviço e uma regra de roteamento para o gateway de serviço. Consulte Acesso aos Serviços Oracle: Gateway de Serviço.

Se a VCN ou gateway de serviço não estiver configurado corretamente, o serviço de Verificação de Vulnerabilidade não poderá se comunicar com instâncias do serviço Compute na sub-rede privada e executar uma verificação do host.

Configure o gateway de serviço para permitir o tráfego de todos os serviços suportados na região. Por exemplo, All PHX Services in Oracle Services Network é um label CIDR de serviço que representa todos os serviços suportados no Oracle Services Network na região Oeste dos EUA (Phoenix).
Observação

O gateway de serviço não pode ser configurado para permitir tráfego apenas para um serviço, como o Object Storage.

O Transporte de Tráfego Está Desativado em uma Instância sem Endereço IP Público

Uma VNIC permite que uma instância se conecte a uma VCN  e determina como a instância se comunica com os pontos finais dentro e fora da VCN. Cada VNIC reside em uma sub-rede de uma VCN. Se uma instância do serviço Compute em seu destino estiver em uma sub-rede privada ou não tiver endereço IP público, as VNICs da instância deverão ser capazes de encaminhar o tráfego.

Se as VNICs não estiverem configuradas corretamente, o serviço Vulnerability Scanning não poderá se comunicar com uma instância do serviço Compute em uma sub-rede privada e executar uma verificação do host.

Edite as VNICs da instância e selecione a opção Ignorar verificação de origem/destino. Consulte Atualizar uma VNIC Existente.

Nenhuma Verificação de Imagem do Contêiner

Corrija os problemas que impeçam que você veja os resultados das verificações de imagem do contêiner.

Se seu problema não estiver listado aqui, consulte Nenhum Resultado de Verificação de Vulnerabilidade para obter outros problemas comuns de verificação.

Falta a Política de IAM para Acessar o Container Registry

Um administrador deve conceder ao serviço Vulnerability Scanning permissão para extrair imagens do Container Registry.

A política deve especificar os compartimentos que contêm seus repositórios de imagem de destino.

Verifique se você tem as políticas necessárias para extrair imagens do Container Registry. Consulte Política Obrigatória do Serviço IAM para Receitas de Verificação de Imagem

Não é Possível Exportar Resultados de Verificação

Corrija problemas que impeçam a exportação de relatórios de verificação ou relatórios de vulnerabilidade para sua máquina local.

Políticas do Serviço IAM Ausentes

Para exportar um relatório de Verificação de Vulnerabilidade, você deve receber o tipo necessário de acesso em uma política (IAM) criada por um administrador, quer você esteja usando a Console ou a API REST com um SDK, CLI ou outra ferramenta.
Observação

Se você também não puder exibir os resultados da verificação, consulte Nenhum Resultado da Verificação de Vulnerabilidade.

O administrador pode ter concedido permissões de leitura para relatórios de verificação e relatórios de vulnerabilidade, mas não permissões de exportação.

Verifique se você tem as políticas necessárias para exportar relatórios de Verificação de Vulnerabilidade. Consulte Políticas do IAM no Vulnerability Scanning.

Por exemplo, para permitir que os usuários do grupo SecurityAuditors exibam todos os recursos de Verificação de Vulnerabilidade no compartimento SalesApps e exportem os resultados:

Allow group SecurityAuditors to read vss-family in compartment SalesApps
Allow group SecurityAuditors to manage host-agent-scan-results in compartment SalesApps where request.operation = 'ExportHostAgentScanResultCsv'
Allow group SecurityAuditors to manage host-vulnerabilities in compartment SalesApps where request.operation = 'ExportHostVulnerabilityCsv'
Observação

A operação de exportação está disponível para o tipo de recurso host-vulnerabilities, não para o tipo de recurso vss-vulnerabilities.

Falha na Exclusão do Compartimento

Corrija problemas que impedem a exclusão de um compartimento que você usou na Verificação de Vulnerabilidade de destinos e relatórios.

Existem Relatórios no Compartimento

Um compartimento deve estar vazio para que você possa excluí-lo, incluindo todos os relatórios de verificação. Não é possível excluir relatórios usando a Console. Use a CLI ou a API.

Existem comandos da CLI e operações de API separados para cada tipo de relatório. Por exemplo:

Para excluir rapidamente todos os tipos de relatórios de um compartimento, você pode executar um script usando o Cloud Shell.

  1. Copie e cole este texto em um arquivo no seu computador local. 
    import oci
import sys

compartment = "<compartment_ocid>"

def list(list_func, compartment):
    try:
        scans = oci.pagination.list_call_get_all_results(
            list_func,
            compartment
        ).data
        return scans
    except Exception as e:
        raise RuntimeError("Error listing scans in compartment " + compartment + ": " + str(e.args))

def delete_scans(delete_func, scans):
    for s in scans:
        try:
            delete_func(s.id)
        except Exception as e:
            raise RuntimeError("Error deleting scan " + s["id"] + ": " + str(e.args))

config = oci.config.from_file()

# Quick safety check
print("Using compartment " + compartment)
if input("Do you want to delete all scan results (host, port, CIS, container) in this compartment? [y/N]: ") != "y":
    sys.exit()

# Create the client from the config
client = oci.vulnerability_scanning.VulnerabilityScanningClient(config)

# Host agent scans
print("Listing agent scans to delete...")
host_scans = list(client.list_host_agent_scan_results, compartment)
print("Deleting " + str(len(host_scans)) + " host scans")
delete_scans(client.delete_host_agent_scan_result, host_scans)

# Host port scans
print("Listing port scans to delete...")
port_scans = list(client.list_host_port_scan_results, compartment)
print("Deleting " + str(len(port_scans)) + " port scans")
delete_scans(client.delete_host_port_scan_result, port_scans)

# Host CIS benchmarks
print("Listing CIS scans to delete...")
cis_benchmarks = list(client.list_host_cis_benchmark_scan_results, compartment)
print("Deleting " + str(len(cis_benchmarks)) + " CIS scans")
delete_scans(client.delete_host_cis_benchmark_scan_result, cis_benchmarks)

# Container scans
print("Listing container image scans to delete...")
container_scans = list(client.list_container_scan_results, compartment)
print("Deleting " + str(len(container_scans)) + " container image scans")
delete_scans(client.delete_container_scan_result, container_scans)
  2. Substitua <compartment_ocid> pelo OCID do compartimento que você deseja excluir.
  3. Salve o arquivo como delete-reports.py.
  4. No cabeçalho da Console, selecione a região que contém os relatórios que você deseja excluir.
  5. No cabeçalho da Console, selecione o ícone Cloud Shell.

    O Cloud Shell é exibido na parte inferior da Console. Aguarde a exibição do prompt $.

  6. Arraste e solte delete-reports.py da sua máquina local para o Cloud Shell.
  7. No prompt do Cloud Shell, execute o script Python. 
    python3 delete-reports.py
  8. Quando solicitado a excluir todos os relatórios, digite y.

    Agora você pode excluir o compartimento se não houver outros recursos nele.

O CVE Informado Já Foi Corrigido no Host (Falso Positive)

Corrija os problemas que fazem com que as verificações de host reportem vulnerabilidades que já foram corrigidas.

A Oracle usa números comuns de vulnerabilidades e exposições (CVE) para identificar vulnerabilidades de segurança para sistemas operacionais e outros softwares, incluindo atualizações de patches críticos e recomendações de alertas de segurança. Os números de CVE são identificadores comuns exclusivos para informações publicamente conhecidas sobre vulnerabilidades de segurança. Visualizar IDs Qualys (QIDs) na interface do usuário do serviço Vulnerability Scanning.

Durante uma verificação de host, o serviço de Verificação de Vulnerabilidade compara a versão dos pacotes do SO no host com a versão corrigida dos pacotes no banco de dados de CVE de código-fonte aberto.

Se você estiver usando o serviço OS Management para atualizar OS hosts de destino, o cenário a seguir geralmente indica um falso positivo:

  • O relatório do serviço Vulnerability Scanning diz que um número de CVE específico não foi corrigido em um host de destino.
  • O serviço OS Management diz que não há atualizações de segurança a serem instaladas no mesmo host de destino.

Imprecisões do Banco de Dados CVE

O Oracle Cloud Infrastructure Vulnerability Scanning Service está trabalhando continuamente para melhorar os resultados da verificação usando o Oracle Linux mais recente e bancos de dados de código-fonte aberto, mas pode haver imprecisões nesses bancos de dados ou no método usado pelo serviço para detectar o CVE. Por exemplo, o serviço Vulnerability Scanning pode reportar um problema de segurança em uma instância do Linux mesmo que:

  • O problema tenha sido corrigido recentemente na distribuição mais recente do Linux
  • O problema tenha sido corrigido na distribuição mais recente do Linux, mas recentemente houve backporting para versões mais antigas

Se você estiver preocupado com a possibilidade de uma vulnerabilidade detectada pelo serviço Vulnerability Scanning ser um falso positivo, poderá usar um número de CVE para verificar se a vulnerabilidade já foi corrigida na sua instância do serviço Compute.

Por exemplo, para verificar um CVE para o Oracle Linux:

  1. Em Resumo de CVE da Rede do Unbreakable Linux, procure o número de CVE.
  2. Com base nas Informações do Errata nos detalhes do CVE, identifique a Data da Release da versão do Oracle Linux em execução na instância do Compute.

    Se a versão tiver uma data de release, o CVE foi corrigido nessa versão.

  3. Conecte-se à instância do serviço Compute usando SSH.
  4. Procure o número de CVE no log de alterações do pacote.
    rpm -q --changelog package | grep <CVE>

CVE Corrigido com o Ksplice

O Oracle Ksplice permite que você atualize hosts do Oracle Linux com patches de segurança importantes sem precisar reinicializar.

Se você tiver corrigido um CVE usando o Ksplice e não reinicializou o host, o serviço Vulnerability Scanning poderá continuar reportando-o como uma vulnerabilidade. Você pode usar o número de CVE para verificar se a vulnerabilidade já foi corrigida na sua instância do serviço Compute.

O Oracle Autonomous Linux é uma imagem do sistema operacional com patches automáticos baseada no Oracle Linux. Ele aplica patches diariamente de modo automático, usando o Oracle Ksplice. Como o Oracle Autonomous Linux atualiza o kernel sem reinicializar o host, o serviço Vulnerability Scanning pode continuar reportando uma vulnerabilidade mesmo que ela tenha sido fixa.

Arquivos Antigos do Kernel ou do Pacote

Se arquivos de kernel ou de pacote antigos não utilizados estiverem presentes no sistema de arquivos do seu host, o serviço Vulnerability Scanning poderá reportar esses arquivos antigos como uma vulnerabilidade. Esse cenário poderá ocorrer se você tiver criado cópias de backup desses arquivos ou se os arquivos não tiverem sido removidos corretamente durante uma atualização ou desinstalação.

  1. Consulte a descrição de CVE detectada para identificar a lista de arquivos associados à vulnerabilidade.
  2. Procure no seu host de destino cópias desses arquivos e exclua-as.

Nenhum Resultado do Cloud Guard

Corrija problemas que impeçam que você veja problemas de Verificação de Vulnerabilidade no Cloud Guard.

O Cloud Guard analisa os resultados do serviço Vulnerability Scanning e reporta os seguintes tipos de problemas:

  • A imagem verificada do contêiner tem vulnerabilidades
  • O host verificado tem vulnerabilidades
  • O host verificado tem portas abertas

Antes de diagnosticar e solucionar problemas do Cloud Guard, certifique-se de que você possa exibir Verificações de Host, Verificações de Porta ou Verificações de Imagem do Contêiner no serviço Vulnerability Scanning. Caso contrário, consulte Nenhum Resultado da Verificação de Vulnerabilidade.

Para obter mais informações sobre problemas comuns do Cloud Guard, consulte Diagnosticando e Solucionando Problemas do Cloud Guard.

Os Alvos do Cloud Guard não Incluem Hosts ou Contêineres de Destino

Os destinos do Cloud Guard são recursos separados dos destinos do Vulnerability Scanning. Para usar o Cloud Guard para detectar problemas em relatórios do serviço Vulnerability Scanning, o compartimento de destino do serviço Vulnerability Scanning deve ser o mesmo que o compartimento de destino do Cloud Guard ou ser um subcompartimento do compartimento de destino do Cloud Guard.

Considere este cenário.

  • CompartmentA e CompartmentB são irmãos (um não é um sub compartimento do outro).
  • A instância do serviço Compute MyInstance e o repositório de imagens MyRepo estão em CompartmentA.
  • O destino ScanTarget1 da Verificação de Vulnerabilidade é definido como CompartmentA.
  • O destino CGTarget1 do Cloud Guard será definido como CompartmentB.

Neste exemplo, o Cloud Guard não mostra problemas de vulnerabilidades detectadas em MyInstance e MyRepo. Inspecione suas definições de destino no Cloud Guard e no serviço Vulnerability Scanning. Se o destino do Cloud Guard estiver definido para o compartimento raiz da sua tenancy, nenhuma alteração será necessária.

Crie um destino do Cloud Guard que inclua os compartimentos nos seus destinos de Verificação de Vulnerabilidade. Consulte Gerenciando Destinos.

As Regras de Verificação de Vulnerabilidade Estão Desativadas

Em uma receita de detector gerenciada pela Oracle, como Receita do Detector de Configuração do OCI, todas as regras do detector são ativadas. No entanto, se você criou uma receita de detector personalizada e não ativou as regras do detector de Verificação de Vulnerabilidade, o Cloud Guard não reportará problemas de Verificação de Vulnerabilidade.

Ative as regras do detector de Verificação. Consulte Usando as Regras do Detector de Verificação de Vulnerabilidade do Cloud Guard Scanning.

As Definições da Regra de Verificação de Vulnerabilidade Excluem Suas Vulnerabilidades

Nas receitas do detector do Cloud Guard, as definições das regras do detector do Vulnerability Scanning controlam quais vulnerabilidades são reportadas como problemas no Cloud Guard.

  • Números de porta não permitidos que o Cloud Guard reporta como problema
  • Números de porta permitidos pelo Cloud Guard
  • Níveis de risco de vulnerabilidade (Baixo, Médio, Alto, Crítico) que o Cloud Guard reporta como problema

Considere os seguintes exemplos.

  • Uma verificação de porta no serviço Vulnerability Scanning identifica as portas abertas 111 e 123, mas as regras do detector da Vulnerability Scanning no Cloud Guard estão configuradas para permitir as portas 111 e 123.
  • Uma verificação de host no serviço Vulnerability Scanning identifica vulnerabilidades com o nível de risco Médio, mas as regras do detector do Vulnerability Scanning no Cloud Guard estão configuradas apenas para reportar vulnerabilidades Altas ou Críticas.

Verifique as definições das regras do detector do Vulnerability Scanning na sua receita do detector de configuração. Consulte Atualizando as Regras do Detector do Vulnerability Scanning.

Falha na Instalação do Agente Qualys

Corrija os problemas que impedem a instalação do agente Qualys.

Políticas do Serviço IAM Ausentes

Para instalar o agente Qualys, você e o agente Qualys devem receber o tipo necessário de acesso em uma política (IAM) criada por um administrador, quer você esteja usando a Console ou a API REST com um SDK, CLI ou outra ferramenta.

  1. Verifique se você tem as políticas necessárias para instalar o agente Qualys. Consulte Políticas Padrão Baseadas em Agente e Políticas de Qualificações Baseadas em Agente.
  2. Adicione as políticas obrigatórias ausentes.

Licença Inválida

O aplicativo Gerenciamento de Vulnerabilidades não foi selecionado quando você gerou a chave de Ativação do Cloud Agent no portal Qualys.

  1. Vá até o portal Qualys e selecione o aplicativo Gerenciamento de Vulnerabilidade para a Chave de Ativação. Consulte a documentação do Qualys Cloud Platform para obter instruções.
  2. Instale o agente Qualys.

Não é Possível Ver os Relatórios de Verificação de Qualys na Console do OCI

Corrija problemas que impeçam você de exibir relatórios de verificação da Qualys na Console do OCI.

Observação

Se os relatórios de verificação da Qualys aparecerem apenas no portal da Qualys, mas não na Console do OCI, abra o ticket de suporte usando a Central de Suporte.

Compartimento Incorreto Especificado

Na Console, certifique-se de escolher o Compartimento que contém os resultados da Verificação de Vulnerabilidade para os destinos que você deseja exibir.

O serviço Vulnerability Scanning salva os resultados de uma instância do serviço Compute no mesmo compartimento que o destino de Verificação de Vulnerabilidade da instância.

Considere o exemplo a seguir.

  • A instância do serviço Compute MyInstance está em CompartmentA.
  • MyInstance é especificado em Target1.
  • Target1 está em CompartmentB.
  • Todos os relatórios relacionados a MyInstance estão em CompartmentB.
Siga as etapas para exibir verificações de host e certifique-se de ter o compartimento correto selecionado. Consulte Listando Verificações de Host.

Receita Não É uma Receita de Verificação do Agente Qualys

O agente Qualys deve ser especificado na receita de verificação do serviço Compute.

Certifique-se de ter criado uma receita de verificação do agente com a opção Qualys selecionada. Consulte Criando uma Receita de Verificação de Computação com um Agente Qualys.

Chave de Licença Qualys Armazenada no Formato Errado

A chave de licença usada na receita de verificação do agente Qualys deve ser armazenada em texto simples.

Siga as etapas para definir um segredo para uma receita de verificação. Consulte Definindo um Segredo para uma Receita de Verificação de Computação.

Instalação do agente de qualificação malsucedida

Talvez o agente Qualys não esteja instalado e provisionado corretamente.

  1. Confirme se a instância do serviço Compute é exibida no portal Qualys.
  2. Confirme se não há erros associados à instância do serviço Compute na página Erros de Destino.

Regras de Saída Não Configuradas Corretamente

Certifique-se de que quaisquer regras de saída configuradas na sua VCN permitam que o agente Qualys se comunique com servidores fora do OCI.

O Plug-in do Agente do Oracle Cloud de Verificação de Vulnerabilidade não Está Funcionando em uma Instância do Controlador de Domínio do Windows

Corrija problemas que impeçam você de executar o Plug-in do Oracle Cloud Agent de Verificação de Vulnerabilidade.

Causa

Quando você usa uma instância do Windows Server como controlador de domínio, OS recursos que dependem do Oracle Cloud Agent, como o serviço Monitoring e o serviço OS Management, não ficam disponíveis.

Corretivo

Consulte o seguinte artigo do MOS para obter a solução: ID do Documento 2919839.1.