Correctifs de la version 3.7.6 LTSB

Système

Haute Disponibilité - Firewalls avec carte IXL

Pour les firewalls disposant d'une carte IXL :

  • Modules d'extension réseau 4x10Gbps et 2x40Gbps fibre pour SN2100, SN3100 et SN6100,
  • Modules 4x10G BASE-T pour SN710, SN910, SN2000, SN2100, SN3000, SN3100, et SN6100,
  • Ports onboard 10Gbps fibre du SN6100.

Lors de la perte du nœud actif dans un cluster de firewalls avec carte IXL, la reprise par l'autre nœud est désormais immédiate. De plus, après le basculement, le flux n'est plus redirigé régulièrement vers le firewall passif.

Firewalls avec carte IXL

Référence support 71576

Le problème de contrôle de flux qui pouvait provoquer un arrêt de trafic sur les firewalls avec carte IXL a été corrigé.

Référence support 73005

Un problème de latence pouvant impacter les firewalls connectés à l'aide d'une carte IXL sur des équipements tiers a été corrigé.

VPN IPSec (IKEv1 + IKEv2)

Référence support 73584

 

Dans une configuration utilisant à la fois des correspondants IKEv1 et IKEv2, l'utilisation des champs UID (LDAP) et CertNID pour l'authentification est prise en compte et les contrôles de droits des utilisateurs à établir un tunnel IPSec ne sont ainsi plus ignorés.

Référence support 72290

Sur un firewall regroupant des correspondants IKEv1 et IKEv2, les groupes d'un utilisateur établissant un tunnel nomade IKEv1 avec authentification via certificat et XAUTH sont à nouveau pris en compte.

Commandes CLI

Référence support 72020

Les fichiers temporaires créés lors de la mise à jour d'une PKI via la commande CLI PKI IMPORT sont désormais correctement supprimés.

PKI

La date de validité de l'autorité de certification racine embarquée sur les firewalls a été prolongée jusqu'au 1er janvier 2038.

VPN IPSec

Référence support 71858

Dans une configuration IPSec où l'une des extrémités de tunnel proposait les algorithmes de chiffrement de phase 2 AES et AES_GCM_16, et l'autre extrémité le seul algorithme AES_GCM_16, le tunnel ne pouvait pas être négocié. Ce problème a été corrigé.

Objets routeur

Référence support 71502

Une anomalie dans le mécanisme de supervision des passerelles survenant lorsque une passerelle passait d'un état interne « à priori non joignable » (un test de disponibilité échoué) à l’état interne « joignable » a été corrigée.

SNMP

Référence support 72116

Les informations de bande passante concernant les interfaces 10 Gigabit/s n'étaient pas correctement retournées dans les OID ifSpeed et ifHighSpeed. Cette anomalie a été corrigée.

Interfaces GRETAP

Référence support 69981

Dans une configuration mettant en œuvre un tunnel GRETAP respectant les conditions suivantes :

  • L’une des extrémités du tunnel est un firewall modèle SN310,
  • Un VLAN est attaché aux interfaces GRETAP portant le tunnel,
  • L’interface GRETAP est membre d’un bridge,
  • L’option Préserver les identifiants de VLAN est activée sur toutes les interfaces appartenant à ce bridge.

Alors, sur le firewall modèle SN310, le trafic en sortie de l’interface physique était corrompu (paquet de contrôle nul) et rejeté par le firewall distant. Ce problème a été corrigé.

VPN SSL

Référence support 66481

Une anomalie dans la gestion du compteur d'utilisateurs connectés via VPN SSL pouvait aboutir à tort à la limite de connexions autorisées. Il était alors impossible d'établir de nouveaux tunnels légitimes. Cette anomalie a été corrigée.

Authentification par certificats

Un contrôle sur le contenu du paramètre "app" utilisé lors de la création du cookie a été ajouté.

Supervision de la HA

Référence support 73615

Un problème de fuite mémoire potentielle dans le module de supervision de la HA a été corrigé.

Réseau

Firewalls avec carte IXL

Référence support 72957

Pour éviter certains problèmes de négociation liés à la détection automatique de vitesse du média, les valeurs disponibles pour les cartes réseau IXL peuvent désormais être sélectionnées dans le module Réseau > Interfaces.

Wi-Fi

Référence support 71139

Les modèles de firewalls Wi-Fi ne se bloquent plus aléatoirement lorsque le réseau Wi-Fi est activé.

Envoi massif de requêtes vers des adresses IP externes

Référence support 72329

Une machine infectée derrière une interface protégée ne provoque plus de baisse significative de performances ou d'arrêt inopiné du firewall lorsqu'elle lance une attaque de type "SYN flood" vers une multitude d'adresses IP externes.

Configuration initiale par clé USB

Référence support 73982

La mise à jour de firmware via clé USB ne fonctionnait pas sur les firewalls dont la version initiale de firmware différait de la structure x.y.z (exemple : 3.7.5-). Ce problème a été corrigé.

Prévention d'intrusion

Référence support 73591

L'activation du mode verbeux du moteur de prévention d'intrusion associée à l'analyse de certains protocoles (DCE RPC, Oracle...) n'entraîne plus de potentiels redémarrages inopinés du firewall.

Protocole DNS

Référence support 71391

Sur un firewall utilisant uniquement IPv4, le moteur d'analyse du protocole DNS ajoutait inutilement des adresses IPv6 dans la table des hôtes. Ceci pouvait entraîner la saturation de cette table sur les petits modèles de firewalls. Ce problème a été corrigé.