Correctifs de la version 3.4.0


Système

Haute Disponibilité

Référence support 66789

Suite à la perte du noeud actif du cluster, la reprise par l'autre noeud est maintenant plus efficace car son impact sur les ressources réseau est moindre.

Référence support 65652

A partir de SNS 3.3.1, dans un cluster composé de firewalls virtuels, la qualité affichée du lien Haute Disponibilité était de 0 alors que la communication entre les membres du cluster s'effectuait correctement. Ce problème a été corrigé.

VPN IPSec - IKEv1

Référence support 66135

La présence, dans une politique IPSec locale et une politique IPSec globale (déployée par exemple à l'aide de SMC ou SNCM), de correspondants ou d'extrémités de trafic se recouvrant empêchait l'activation de ces politiques. Ainsi, une politique locale basée sur des correspondants nomades définis par l'objet Any recouvrait toute politique globale de tunnels site à site. Ce problème a été corrigé.

VPN IPSec - IKEv2

Référence support 61227

Le firewall n'appliquait pas les droits d'accès utilisateur et refusait d'authentifier un utilisateur présentant un certificat dont le champ X509v3 Extended Key Usage était vide. Ce problème a été corrigé.

Référence support 66862

La mise à jour des CRL est correctement prise en compte pour les tunnels VPN en mode IKEv2.

Référence support 61100

Sur le produit SN150, les tunnels VPN en mode IKEv2 existants devenaient inopérants après quelques jours, nécessitant un redémarrage du programme ou du firewall. Ce problème a été corrigé.

Référence support 64048

Le nombre de SA (Security Association) IKE pour un même tunnel IPSec IKEv2 pouvait augmenter au fil du temps sans que les SA inutilisées ne disparaissent. La mise à jour du moteur de gestion des tunnels IKEv2 a corrigé ce problème.

Commandes SSH

Référence support 66189

La commande autoupdate pour mettre à jour tous les modules du firewall ne déclenche plus l'erreur suivante lorsqu'un des modules est configuré pour ne pas vérifier la signature des données téléchargées :
Error=Master file version mismatch! (-1 != 1)

Référence support 66137

Des améliorations ont été apportées à la commande SSH enwifi : elle n’est plus appelée par la commande ennetwork –f sur un modèle de firewall sans Wi-Fi. De plus, la commande enwifi –h ne génère plus d’alarmes inappropriées.

Routage

Référence support 64996

Un problème d'accès concurrentiels dans une configuration utilisant des règles de filtrage en mode firewall ainsi que des directives de routage par politique de filtrage (PBR) pouvait aboutir à un blocage du firewall. Ce problème a été corrigé.

Référence support 64070

Lors de l'ouverture d'une connexion fille à contresens de la connexion principale par les protocoles H323 et TFTP, le trafic n'atteignait pas sa destination si un routeur configuré dans des règles de filtrage (PBR) et/ou un routeur retour était associé à la connexion principale. Ce problème a été corrigé.

Référence support 67115

Un paquet retour dont le routage initial est une route statique vers une interface virtuelle (VTI) est maintenant redirigé correctement vers le routeur retour si le moteur de prévention d'intrusion l'exige.

Applications et protections

Référence support 61505

Certaines actions associées aux alarmes déclenchées par des signatures de protection contextuelle personnalisées ne fonctionnaient pas (e.g., envoi d'e-mail, mise en quarantaine). Ce problème a été corrigé.

Logs - Journaux d'audit

Références support 66899 - 66797 - 66900

Lorsqu'un service interne corrompait le système de remontée des journaux d'audit, ce dernier pouvait entraîner un blocage de tous les services sans provoquer un redémarrage du produit ou la prise de relai par un autre noeud du cluster. Ce problème a été corrigé.

Référence support 55251

Le nom de l'utilisateur qui a ouvert une connexion apparaît désormais correctement dans les journaux de connexion, même si un autre utilisateur a récupéré la même adresse IP entre temps.

Référence support 55251

Le démon logd chargé d'écrire les traces (logs) et de générer les rapports ne s'arrête plus inopinément et ne provoque plus de perte de traces.

VPN SSL

Référence support 65347

Les règles implicites pour OpenVPN TCP et UDP ne sont plus générées inutilement, mais uniquement en fonction du protocole activé (TCP et/ou UDP).

 

Références support 65392- 66937 - 65279

Pour résoudre des dysfonctionnements du service SSL VPN sur UDP, il est maintenant possible de définir l'IP d'écoute du service avec la commande CONFIG OPENVPN UPDATE udpBindAddr=(<firewall_ip_object>|""). Le détail de cette commande est disponible dans le document CLI SERVERD Commands Reference Guide.

Authentification SSO SPNEGO

Référence support 65439

Lorsque l'authentification SPNEGO est configurée, l'utilisateur accède désormais directement à un site web sans passer par le portail d'authentification, même si l'URL du site contient une apostrophe.

Proxies

Références support 66014 - 65028 - 65033

Dans certains cas, l'utilisation du proxy SMTP pouvait provoquer des arrêts inopinés du service pour tous les types de connexions dans le proxy : SMTP, mais aussi HTTP ou SSL. Ce problème a été corrigé.

Maintenance

Référence support 67022

Le rapport système (sysinfo) ne génère plus d'erreurs illégitimes concernant certains binaires du système.

Partition de logs

Référence support 64065

Le problème de corruption de la partition de logs suite à un arrêt inopiné de SNS a été corrigé.

Réseau

Référence support 64123

L'accumulation de requêtes ARP sans réponse pouvait entraîner la perte du premier paquet d'une communication entre deux hôtes appartenant aux réseaux du firewall. Cette anomalie qui était problématique pour certains outils de supervision a été corrigée.

Prévention d'intrusion

Antispam

Référence support 66530

La mise à jour "Active update" du moteur antispam est plus rapide et n'utilise plus de ressources CPU disproportionnées.

Protection applicative

Profils d'inspection

 

Référence support 64042

Lorsqu'un client du réseau interne du firewall ouvre une connexion vers un serveur sur internet et que la réponse du serveur génère une alarme, l'alarme ne bloque plus l'adresse IP du client, mais bien l'adresse IP du serveur.

Interface Web d'administration

Filtrage

Référence support 64008

Le compteur d'utilisation s'affiche désormais correctement pour toutes les règles de filtrage et de NAT.

Référence support 64943

Le copier-coller d'une règle de filtrage conserve bien désormais les informations de destination des traces Disque, Serveur syslog, et Collecteur IPFIX.

Référence support 66798

La bonne politique de filtrage est désormais affichée après sélection d'une politique globale.

Référence support 65057

Dans la page Politique de sécurité > Filtrage SMTP, il est désormais possible de saisir le caractère "?" dans le nom d'un expéditeur.

Objets

Référence support 66757

Il est à nouveau possible de créer un objet Temps de type Evénement ponctuel qui débute et se termine le même jour.

Rapports

Référence support 65958

Le menu Rapports > Analyse Sandboxing > Fichiers malveillants bloqués affiche désormais correctement le rapport sur les fichiers bloqués par le moteur d'analyse Sandboxing.

Utilisateurs

Référence support 65945

Si vous aviez un annuaire LDAP externe configuré dans le firewall, les utilisateurs dont les groupes comportaient des caractères spéciaux dans leurs attributs (DN, OU, etc.) n'étaient pas correctement pris en compte. Ce problème a été corrigé.

Référence support 66275

L'onglet Configuration > Utilisateurs > Authentification > Portail captif a été optimisé pour prendre en compte un grand nombre d'interfaces.

Interfaces réseau

Référence support 64870

La page Configuration > Réseau > Interfaces ne lance plus de commande liée au Wi-Fi sur un firewall sans Wi-Fi, et ne génère donc plus d'erreur inappropriée.

Protocoles

Référence support 66438

Dans le module Protocoles, le bouton permettant d'ajouter des services MS-RPC personnalisés est désormais fonctionnel.

Supervision

Référence support 65898

La colonne Débit moyen du menu Supervision > Supervision des connexions affiche maintenant une valeur correcte par rapport à l'unité indiquée(bits/seconde).

Référence support 66440

Dans la configuration de la supervision des interface, il n'est plus possible d'ajouter une interface déjà présente dans la liste, ce qui limite les erreurs.

Mot de passe du compte administrateur

Référence support 66384

Lorsque vous modifiez le mot de passe du compte administrateur, le nouveau mot de passe est désormais correctement interprété s'il contient des espaces.

Page de connexion

Référence support 66027

Le bouton d'aide de la page de connexion qui renvoyait vers une page inconnue a été supprimé.

Machines virtuelles

Plate-forme d'hébergement Microsoft Azure

Référence support 58722

Lors de l'initialisation d'une machine virtuelle sur la plate-forme Azure, le caractère "$" (dollar) dans le mot de passe administrateur n'était pas pris en compte. Le mot de passe administrateur du firewall restait alors "admin". Ce problème a été corrigé.

Matériel

Références support 65250 - 65820

Un nombre trop important d'informations système remontait sur le lien série, ce qui pouvait ralentir le firewall et empêcher l'administration via ce lien. Désormais, ces informations ne seront plus visibles par défaut sur le lien série mais uniquement via la commande ndmesg. Vous pouvez cependant modifier le paramètre KernelMsg dans la section [Console] du fichier de configuration ConfigFiles/system pour afficher à nouveau les informations.