Correctifs de SNS 4.0.1

Système

VPN IPsec (IKEV1 + IKEv2)

Référence support 73584

Dans une configuration utilisant à la fois des correspondants IKEv1 et IKEv2, l'utilisation des champs UID (LDAP) et CertNID pour l'authentification est prise en compte et les contrôles de droits des utilisateurs à établir un tunnel IPsec ne sont ainsi plus ignorés.

Référence support 72290

Sur un firewall regroupant des correspondants IKEv1 et IKEv2, les groupes d'un utilisateur établissant un tunnel nomade IKEv1 avec authentification via certificat et XAUTH sont à nouveau pris en compte.

Sauvegardes automatiques - Cloud Backup

Référence support 73218

La restauration d'une sauvegarde de configuration depuis Cloud Backup est à nouveau fonctionnelle.

Système - Fuseau horaire

Référence support 69833

Le fuseau horaire Europe / Moscou du système a été mis à jour afin de corriger un décalage d'une heure.

Firewalls avec carte IXL

Pour les firewalls disposant d'une carte IXL :

  • Modules d'extension réseau 4x10Gbps et 2x40Gbps fibre pour SN2100, SN3100 et SN6100,
  • Modules 4x10G BASE-T pour SN710, SN910, SN2000, SN2100, SN3000, SN3100, et SN6100,
  • Ports onboard 10Gbps fibre du SN6100.

Référence support 73005

Un problème de latence pouvant impacter les firewalls connectés à l'aide d'une carte IXL sur des équipements tiers a été corrigé.

Référence support 72957

Pour éviter certains problèmes de négociation liés à la détection automatique de vitesse du média, les valeurs disponibles pour les cartes réseau IXL peuvent désormais être sélectionnées dans le module Réseau > Interfaces.

Filtrage et NAT

Les champs Forcer en IPsec les paquets source, Forcer en IPsec les paquets retour et Synchroniser cette connexion entre les firewalls (HA) ont été ajoutés au fichier d'export CSV des règles de filtrage et NAT.

Haute Disponibilité

L'ajout d'un alias sur une interface réseau existante ne provoque plus de bascule HA au sein du cluster.

Haute Disponibilité - VPN IPsec

Référence support 74860

Les compteurs anti-rejeu de la SAD (Security Association Database) sont transmis vers le firewall passif, les numéros de séquence étant incrémentés afin de respecter le fonctionnement du mécanisme de Haute Disponibilité (HA).

Lorsque dans une configuration HA, le firewall passif détectait également du trafic IPsec (exemple : trames de supervision d'interfaces IPsec virtuelles), celui-ci transmettait à son tour au firewall actif des numéros de séquence incrémentés.

Suite à ces incrémentations successives, les numéros de séquence pouvaient alors rapidement atteindre les valeurs limites autorisées et déclencher à tort la protection anti-rejeu IPsec, bloquant ainsi les flux au travers des tunnels. Ce problème a été corrigé.

Haute disponibilité et supervision

Référence support 73615

Un risque de fuite mémoire a été corrigé dans le cas de configurations en Haute Disponibilité avec la supervision activée.

Configuration initiale par clé USB

Référence support 73923

La mise à jour de firmware via clé USB fonctionne de nouveau correctement.

Authentification par certificat

Un contrôle a été ajouté sur le contenu de certains paramètres utilisés lors de la création du cookie.

Rapports

Référence support 74730

Lors du redémarrage du firewall, une anomalie survenant au moment de l'activation de la base de données des rapports pouvait entraîner l'affichage de plusieurs messages d'erreur en console :

checkdb[181]: Missing database file: /var/db/reports/reports.db
enreport: checkdb: Unable to restore the reports database
enreport: Unable to mount the reports database.

Cette anomalie a été corrigée.

Port série - Éditeurs de fichiers

Référence support 72653

Une anomalie d'affichage lors de l'utilisation des éditeurs de fichiers Joe / Jmacs via le lien série a été corrigée.

Prévention d'intrusion

Référence support 73591

L'activation du mode verbeux du moteur de prévention d'intrusion associée à l'analyse de certains protocoles (DCE RPC, Oracle...) n'entraîne plus de potentiels redémarrages inopinés du firewall.

Interface Web d'administration

Routage statique

Références support 73316 - 73201

Dans le module Réseau > Routage, il est à nouveau possible de sélectionner l'interface IPsec lors de la définition d'une route statique.

Objets réseau

Référence support 73404

La présence de caractères accentués dans les commentaires d'objets réseau n'empêche plus le chargement correct des pages de l'interface Web d'administration.

DHCP - Serveur

Référence support 73071

Un message d'avertissement indique désormais qu'il n'est pas possible d'ajouter une réservation d'adresse IP lorsqu'un filtre d'affichage est actif.

DHCP - Relais

Référence support 72951

L'interface réseau éventuellement précisée pour relayer les requêtes DHCP était remplacée par la valeur par défaut (automatique) après avoir quitté et affiché de nouveau le module DHCP. Cette anomalie a été corrigée.

Caractères spéciaux

Références support 68883 - 72034 - 72125 - 73404

Une anomalie dans la conversion en UTF-8 de caractères spéciaux (caractères asiatiques ou accentués par exemple) pouvait générer des erreurs XML et empêcher l'affichage des modules impactés (Filtrage, NAT, Utilisateurs,...). Cette anomalie a été corrigée.

Certificats et PKI

Référence support 74111

L'affichage du contenu d'une CRL comportant plusieurs milliers de certificats révoqués pouvait ne pas aboutir selon le modèle de firewall. Ce problème a été corrigé et seuls les 1000 premiers éléments sont affichés.

Agent SNMP

Référence support 74337

Lors de la définition d'un serveur SNMPv3, les deux boutons de sélection d'algorithmes de chiffrement restaient systématiquement actifs après avoir été sélectionnés. Cette anomalie a été corrigée.

Protocole Modbus

Référence support 71166

Le firewall ne tenait pas comptes des informations saisies dans la grille UNIT ID autorisés (Protection Applicative > Protocoles > Protocoles industriels > Modbus > Paramètres généraux). Ces informations n'étaient également plus présentes dans la grille après avoir quitté le module.