Correctifs de SNS 4.0.1
Système
VPN IPsec (IKEV1 + IKEv2)
Référence support 73584
Dans une configuration utilisant à la fois des correspondants IKEv1 et IKEv2, l'utilisation des champs UID (LDAP) et CertNID pour l'authentification est prise en compte et les contrôles de droits des utilisateurs à établir un tunnel IPsec ne sont ainsi plus ignorés.
Référence support 72290
Sur un firewall regroupant des correspondants IKEv1 et IKEv2, les groupes d'un utilisateur établissant un tunnel nomade IKEv1 avec authentification via certificat et XAUTH sont à nouveau pris en compte.
Sauvegardes automatiques - Cloud Backup
Référence support 73218
La restauration d'une sauvegarde de configuration depuis Cloud Backup est à nouveau fonctionnelle.
Système - Fuseau horaire
Référence support 69833
Le fuseau horaire Europe / Moscou du système a été mis à jour afin de corriger un décalage d'une heure.
Pour les firewalls disposant d'une carte IXL :
- Modules d'extension réseau 4x10Gbps et 2x40Gbps fibre pour SN2100, SN3100 et SN6100,
- Modules 4x10G BASE-T pour SN710, SN910, SN2000, SN2100, SN3000, SN3100, et SN6100,
- Ports onboard 10Gbps fibre du SN6100.
Référence support 73005
Un problème de latence pouvant impacter les firewalls connectés à l'aide d'une carte IXL sur des équipements tiers a été corrigé.
Référence support 72957
Pour éviter certains problèmes de négociation liés à la détection automatique de vitesse du média, les valeurs disponibles pour les cartes réseau IXL peuvent désormais être sélectionnées dans le module Réseau > Interfaces.
Filtrage et NAT
Les champs Forcer en IPsec les paquets source, Forcer en IPsec les paquets retour et Synchroniser cette connexion entre les firewalls (HA) ont été ajoutés au fichier d'export CSV des règles de filtrage et NAT.
Haute Disponibilité
L'ajout d'un alias sur une interface réseau existante ne provoque plus de bascule HA au sein du cluster.
Haute Disponibilité - VPN IPsec
Référence support 74860
Les compteurs anti-rejeu de la SAD (Security Association Database) sont transmis vers le firewall passif, les numéros de séquence étant incrémentés afin de respecter le fonctionnement du mécanisme de Haute Disponibilité (HA).
Lorsque dans une configuration HA, le firewall passif détectait également du trafic IPsec (exemple : trames de supervision d'interfaces IPsec virtuelles), celui-ci transmettait à son tour au firewall actif des numéros de séquence incrémentés.
Suite à ces incrémentations successives, les numéros de séquence pouvaient alors rapidement atteindre les valeurs limites autorisées et déclencher à tort la protection anti-rejeu IPsec, bloquant ainsi les flux au travers des tunnels. Ce problème a été corrigé.
Haute disponibilité et supervision
Référence support 73615
Un risque de fuite mémoire a été corrigé dans le cas de configurations en Haute Disponibilité avec la supervision activée.
Configuration initiale par clé USB
Référence support 73923
La mise à jour de firmware via clé USB fonctionne de nouveau correctement.
Authentification par certificat
Un contrôle a été ajouté sur le contenu de certains paramètres utilisés lors de la création du cookie.
Rapports
Référence support 74730
Lors du redémarrage du firewall, une anomalie survenant au moment de l'activation de la base de données des rapports pouvait entraîner l'affichage de plusieurs messages d'erreur en console :
checkdb[181]: Missing database file: /var/db/reports/reports.db
enreport: checkdb: Unable to restore the reports database
enreport: Unable to mount the reports database.
Cette anomalie a été corrigée.
Port série - Éditeurs de fichiers
Référence support 72653
Une anomalie d'affichage lors de l'utilisation des éditeurs de fichiers Joe / Jmacs via le lien série a été corrigée.
Prévention d'intrusion
Référence support 73591
L'activation du mode verbeux du moteur de prévention d'intrusion associée à l'analyse de certains protocoles (DCE RPC, Oracle...) n'entraîne plus de potentiels redémarrages inopinés du firewall.
Interface Web d'administration
Routage statique
Références support 73316 - 73201
Dans le module Réseau > Routage, il est à nouveau possible de sélectionner l'interface IPsec lors de la définition d'une route statique.
Objets réseau
Référence support 73404
La présence de caractères accentués dans les commentaires d'objets réseau n'empêche plus le chargement correct des pages de l'interface Web d'administration.
DHCP - Serveur
Référence support 73071
Un message d'avertissement indique désormais qu'il n'est pas possible d'ajouter une réservation d'adresse IP lorsqu'un filtre d'affichage est actif.
DHCP - Relais
Référence support 72951
L'interface réseau éventuellement précisée pour relayer les requêtes DHCP était remplacée par la valeur par défaut (automatique) après avoir quitté et affiché de nouveau le module DHCP. Cette anomalie a été corrigée.
Caractères spéciaux
Références support 68883 - 72034 - 72125 - 73404
Une anomalie dans la conversion en UTF-8 de caractères spéciaux (caractères asiatiques ou accentués par exemple) pouvait générer des erreurs XML et empêcher l'affichage des modules impactés (Filtrage, NAT, Utilisateurs,...). Cette anomalie a été corrigée.
Certificats et PKI
Référence support 74111
L'affichage du contenu d'une CRL comportant plusieurs milliers de certificats révoqués pouvait ne pas aboutir selon le modèle de firewall. Ce problème a été corrigé et seuls les 1000 premiers éléments sont affichés.
Agent SNMP
Référence support 74337
Lors de la définition d'un serveur SNMPv3, les deux boutons de sélection d'algorithmes de chiffrement restaient systématiquement actifs après avoir été sélectionnés. Cette anomalie a été corrigée.
Protocole Modbus
Référence support 71166
Le firewall ne tenait pas comptes des informations saisies dans la grille UNIT ID autorisés (Protection Applicative > Protocoles > Protocoles industriels > Modbus > Paramètres généraux). Ces informations n'étaient également plus présentes dans la grille après avoir quitté le module.