Correctifs de SNS 4.1.1

Système

VPN SSL

Référence support 76762

Le champ Réseaux ou machines accessibles était utilisé à tort dans le calcul du nombre de clients VPN SSL possibles, faussant ainsi le calcul. Ce comportement a été corrigé.

VPN SSL Portail

Référence support 77062

Bien que le nombre maximal de serveurs accessibles via SSL VPN Portail soit limité, il était possible de déclarer des machines supplémentaires. Cela entraînait alors des redémarrages en boucle du moteur d'authentification du firewall. Il n'est désormais plus possible de créer de serveurs au delà de cette limite, qui dépend du modèle de firewall.
En savoir plus

Références support 77168 - 77132 - 77388

Le démon SLD pouvait redémarrer et déconnecter tous les utilisateurs lorsque deux d'entre eux étaient connectés en VPN SSL Portail et accédaient à la même ressource.

Bypass matériel - Firewalls modèle SNi40

Référence support 78382

Sur les firewalls industriels SNi40 dont la fonction de bypass matériel était activée (Configuration > onglet Configuration générale), un problème d'accès concurrentiel au mécanisme de bypass par les processus de supervision du matériel pouvait entraîner une activation inappropriée du bypass ainsi qu'un défaut d'affichage de son état dans l'interface Web d'administration du firewall. Ce problème a été corrigé.

Configuration des annuaires

Référence support 76576

Le port utilisé par défaut pour accéder au serveur LDAP de secours est désormais identique au port utilisé par le serveur LDAP principal.

Supervision des passerelles

Références support 71502 - 74524

Lors du démarrage du mécanisme de supervision des passerelles, si l'une des passerelles utilisées dans les règles de filtrage passait d'un état interne « à priori non joignable » (un test de disponibilité échoué) à l’état interne « joignable », cette passerelle restait néanmoins désactivée pour le filtrage. Cette anomalie a été corrigée.

Un événement est également désormais enregistré dans les logs lors de ce changement d'état de la passerelle.

Référence support 75745

Sur un firewall soumis à une forte charge et utilisant une configuration avec de nombreuses passerelles, le mécanisme de supervision des passerelles pouvait ne pas recevoir les réponses aux tests de disponibilité suffisamment rapidement. Dans ce cas, ce mécanisme réémettait les requêtes de disponibilité de manière continue, puis redémarrait sans émettre de notification (log ou événement système). Ce problème a été corrigé.

Référence support 77579

Des problèmes de redémarrage inopiné du mécanisme de supervision des passerelles ont été résolus.

Référence support 76802

Dans certaines configurations le processus faisant appel au moteur de supervision des passerelles pouvait consommer une quantité excessive de ressources CPU du firewall. Ce problème a été corrigé.

Filtrage d'URL - Extended Web Control

Référence support 78169

La mise à jour d'un firewall vers une version de firmware 4.1.x n'empêche plus la génération des groupes de catégories d'URL utilisés par la solution Extended Web Control.

Proxies

Références support 77514 - 76343 - 78378 - 78438 - 78469 - 78579 - 78582 - 77896

Des problèmes de blocage des proxies lors de l'utilisation conjointe de l'antispam et du moteur antiviral Kaspersky ont été résolus.

Références support 76535 - 75662

Un problème d'accès concurrentiel potentiel entre les files de traitement des proxies SSL et HTTP pouvait entraîner un arrêt inopiné du gestionnaire des proxies. Ce problème a été résolu.

Référence support 71870

Le démon du proxy ne s'arrête plus de manière inopinée lorsque le nombre maximum de connexions simultanées au travers du proxy SSL est atteint.

Références support 70598 - 70926

Le comportement du Proxy HTTP a été modifié afin de ne plus surcharger le démon SLD du firewall, dans le cas où un trop grand nombre de requêtes redirigeaient vers le portail d'authentification. Ce nouveau mécanisme met notamment en œuvre une protection contre les attaques par force brute.

Proxy SSL

Références support 76022 - 76017

La modification de certains paramètres (tampons mémoire, taille de fenêtre TCP) du proxy SSL destinés à optimiser la quantité de données échangées au travers de ce proxy est désormais correctement prise en compte.

Référence support 77207

Une anomalie dans le mécanisme de cache des décisions SSL (déchiffrer, ne pas déchiffrer...) en présence de connexions simultanées avec des adresses IP destination identiques et des ports différents, pouvait provoquer une corruption de ce cache et aboutir à un blocage du proxy SSL. Cette anomalie a été corrigée.

Référence support 78044

Lorsqu’une tentative de connexion vers un serveur SSL non joignable aboutissait directement à l’émission d’un message d’erreur par le proxy SSL, cette connexion n’était pas correctement clôturée par le firewall. La multiplication de ces connexions considérées à tort comme actives aboutissait alors à un fort ralentissement des flux SSL légitimes. Cette anomalie a été corrigée.

Proxy SMTP

Référence support 77207

Dans une configuration utilisant le proxy SMTP dans une règle de filtrage SMTP :

  • En mode d'inspection de sécurité "Firewall",
  • ou

  • En mode d'inspection de sécurité "IDS" ou "IPS" mais sans analyse protocolaire SMTP (module Protection applicative > Protocoles SMTP > onglet IPS : case Détecter et inspecter automatiquement le protocole décochée),

une coupure de connexion à l'initiative du serveur SMTP précédée d'un message serveur SMTP/421 provoquait un blocage du proxy SMTP. Ce problème a été corrigé.

Stockage local

Référence support 75301

Un firewall dont la carte SD (et donc la partition de stockage des logs) était endommagée pouvait redémarrer en boucle. Ce problème a été corrigé.

VPN IPsec IKEv1

Référence support 77679

Dans une configuration IPsec utilisant un correspondant mobile avec authentification par certificat et pour lequel aucun identifiant de correspondant n'est précisé, le message de passage en mode expérimental n'est plus affiché à tort.

Référence support 77358

Lors de l'établissement d'un tunnel VPN IPsec avec un utilisateur distant (appelé également mobile ou nomade), la phase 1 de la négociation IKE pouvait échouer du fait que les paquets fragmentés reçus n'étaient pas reconstruits correctement. Cette anomalie a été corrigée.

Référence support 65964

Le moteur de gestion IPsec (Racoon) utilisé pour les politiques IKEv1 n’interrompt plus la négociation d'une phase 2 avec un correspondant lorsque la négociation d'une autre phase 2 avec le même correspondant échoue.

VPN IPsec IKEv2 ou IKEv1 + IKEv2

Référence support 74391

Le rechargement automatique d'une CRL de très grande taille (plusieurs dizaines de milliers de certificats révoqués) n’entraîne plus de redémarrage en boucle du moteur de gestion des tunnels IPsec IKEv2.

Référence support 75303

Un nombre important de redémarrages du moteur de routage dynamique Bird (bird pour IPv4 ou bird6 pour IPv6) provoquait un défaut sur le démon IKE, empêchant alors la négociation des tunnels VPN IPsec. Cette anomalie a été corrigée.

Référence support 75137

La création de plusieurs correspondants nomades utilisant un même certificat n'entraîne plus le chargement de ce certificat à de multiples reprises. Ce comportement provoquait en effet une charge mémoire inutile dans le cas d'un nombre important de correspondants.

Référence support 77722

La présence d'une même Autorité de Certification de confiance avec CRL à la fois dans la politique IPsec locale et la politique IPsec globale ne provoque plus un échec de l'activation de la configuration IPsec du firewall.

Référence support 77097

Des optimisations ont été apportées dans la gestion du processus d’authentification pour l’établissement d’un tunnel VPN IPsec dans une configuration où plusieurs annuaires LDAP sont déclarés et que le temps de réponse d’un ou plusieurs de ces annuaires LDAP est anormalement élevé.

Ces optimisations permettent désormais de ne plus bloquer les tentatives d'établissement d’autres tunnels pendant cette phase d’attente.

VPN IPsec - Interfaces virtuelles

Référence support 77032

Lors du déchiffrement de trafic IPv6 transitant dans des tunnels IPsec IPv4 au travers d'interfaces virtuelles, le firewall ne cherche plus à tort les routes de retour parmi les interfaces virtuelles IPv6. Ces paquets IPv6 sont donc désormais correctement échangés à chaque extrémité du tunnel.

VPN IPsec - Logs

Référence support 77366 - 69858 - 71797

Les chaînes de texte envoyées vers le service de gestion des logs du firewall, et qui dépassent la taille autorisée, sont désormais correctement tronquées et ne contiennent plus de caractères n'appartenant pas au jeu UTF-8. Cette anomalie provoquait un dysfonctionnement de la consultation des logs au travers de l'interface Web d'administration.

De plus :

  • La taille maximale d'une ligne de log est désormais de 2048 caractères,
  • La taille maximale d'un champ texte contenu dans une ligne de log est désormais de 256 caractères.

Configuration initiale par clé USB

Référence support 77603

Une anomalie dans la gestion des caractères spéciaux (espaces, "&"...) lors de l'import d'un fichier CSV pouvait empêcher la prise en compte de certaines données (exemple : certificats dont le nom contient des espaces). Elle a été corrigée.

Antivirus

Références support 77399 - 77369 - 78378 - 78156 - 78579

Le moteur antiviral ne se bloque plus au démarrage ou lors du rechargement global de sa configuration lorsque la licence sandboxing (Breach Fighter) est absente ou en cas de défaut de configuration du sandboxing.

Objets réseau

Référence support 77385

Lors de la création d'un objet réseau global lié à une interface protégée, cet objet est désormais correctement intégré au groupe Networks_internals.

Restauration d'objets réseau

Référence support 76167

Lors de la restauration d'objets réseau (locaux ou globaux) à l'aide d'un fichier de sauvegarde (fichier portant l'extension ".na"), un rechargement des routes réseau du firewall est effectué afin de prendre en compte les modifications qui concerneraient des objets réseau impliqués dans le routage.

TPM

Référence support 76664

Lors de la révocation d'un certificat, le fichier associé portant l'extension .pkey.tpm est désormais correctement supprimé.

Référence support 76665

Lorsqu'un certificat au format PEM et non accompagné de sa clé privée est importé sur le firewall, la commande de diagnostic tpmctl -a -v ne retourne plus à tort un message d'erreur de lecture du fichier TPM associé (tpm file read error).

Agent SNMP

Références support 65418 - 71393

Les réponses SNMP de type SNMP_NOSUCHOBJECT, SNMP_NOSUCHINSTANCE et SNMP_ENDOFMIBVIEW sont désormais correctement interprétées et ne provoquent plus un arrêt inopiné de l'analyse du protocole SNMP.

Référence support 71584

L'utilisation de la valeur snmpEngineBoots a été modifiée afin de se conformer à la RFC 3414.

Références support 74522 - 74521

Des anomalies dans l'indexation des tables reflétant l'état matériel des membres du cluster dans la MIB HA ont été corrigées.

Connexion depuis Stormshield Management Center (SMC)

Lors d'une première connexion depuis SMC à l'interface Web d'administration d'un firewall en version 4.0.1 ou supérieure, la récupération de l'archive contenant l'intégralité des données de l'interface pouvait échouer, empêchant alors toute connexion au firewall depuis SMC. Cette anomalie a été corrigée.

Rapports

Dans certains cas, l'exécution de la commande système checkdb -C permettant de vérifier l'intégrité de la base de données des rapports pouvait amener à sa suppression. Le système permettant d’interagir avec cette dernière a ainsi été amélioré afin d'y incorporer plus de rigueur notamment dans la gestion des erreurs. 

Pour plus d'informations concernant la syntaxe de cette commande, veuillez vous référer au Guide de référence des commandes CLI / SSH.

Comportement en cas de saturation du service de gestion des logs

Références support 73078 - 76030

Dans le cas où le service de gestion des logs du firewall est saturé, il est désormais possible de définir la manière dont le firewall gère les paquets générant une alarme et ceux traversant une règle de filtrage configurée pour tracer un événement :

  • Bloquer les paquets concernés puisque le firewall n'est plus en mesure de tracer ces événements,
  • Ne pas bloquer les paquets concernés et appliquer la configuration de la politique de sécurité même si le firewall n'est plus en mesure de tracer ces événements.

Ce comportement du moteur de prévention d'intrusion peut être configuré depuis l'interface d'administration du firewall dans le module Configuration > Protection applicative > Profils d'inspection.

Il est également possible de définir un seuil en pourcentage à partir duquel le firewall considère que son service de gestion des logs est saturé. Une fois atteint, le firewall applique le comportement défini concernant les paquets dont un log devait être conservé.

Le seuil peut être modifié uniquement à l'aide des commandes CLI / Serverd suivantes :

CONFIG SECURITYINSPECTION COMMON LOGALARM BlockOverflow=<0|1> BlockDrop=<0-100>

CONFIG SECURITYINSPECTION COMMON LOGFILTER BlockOverflow=<0|1> BlockDrop=<0-100>

Pour plus d'informations concernant la syntaxe de ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.

Haute disponibilité

Référence support 70003

La validité de licence de l'option Management de vulnérabilités est désormais vérifiée avant d'exécuter une synchronisation de configuration afin de ne plus générer inutilement dans les logs des messages d'erreur du type "Target: all From: SNXXXXXXXXXXXXX Command: SYNC FILES failed: Command failed : Command has failed : code 1".

Référence support 56682

Le processus de test permettant aux nœuds d'un même cluster de s'assurer de la disponibilité de l'un et de l'autre a été amélioré afin d'éviter de déclencher à tort la bascule du nœud passif en état actif et de se retrouver dans une configuration avec deux nœuds actifs.

Haute disponibilité - VPN IPsec (politique IKEv2 ou politique IKEv1 + IKEv2)

Dans les configurations en haute disponibilité appliquant une politique IPsec IKEv2 ou IKEv1+IKEv2, une anomalie pouvait entraîner une détection inappropriée de rejeu des numéros de séquence ESP ainsi que des pertes de paquets après deux bascules au sein du cluster. Cette anomalie a été corrigée.

Haute disponibilité - Agrégat de liens

Référence support 76748

Dans une configuration en haute disponibilité, le basculement d'un nœud actif en état passif ne désactive plus à tort une interface VLAN lorsque celle-ci est contenue dans un agrégat de liens (LACP).

Maintenance - Haute disponibilité

Référence support 75986

Dans une configuration en haute disponibilité, l'option permettant de copier la partition active vers la partition de secours depuis l'autre membre du cluster est de nouveau disponible (module Système > Maintenance > onglet Configuration).

Filtrage et NAT - Adresses MAC

Référence support 76399

Une règle ayant pour destination un objet machine avec une adresse MAC forcée (machine faisant l'objet d'une réservation DHCP par exemple) filtre désormais correctement le trafic qui lui correspond.

Haute disponibilité - Filtrage et NAT - Objets temps

Référence support 76822 - 73023 - 76199

Afin de ne plus provoquer d'instabilités réseau dans le cadre de clusters en haute disponibilité, des optimisations ont été apportées dans la réévaluation des règles de filtrage lors du changement d'état d'un objet temps utilisé dans l'une ou plusieurs de ces règles.

Référence support 76822

Des optimisations ont également été apportées dans la réévaluation des règles de filtrage lors du changement d'état d'un objet temps utilisé dans plusieurs règles de la politique de filtrage.

Routeurs

Références support 75745 - 74524

Lorsqu'un firewall a redémarré, le service de supervision des routeurs tient désormais correctement compte du dernier état connu de ces routeurs.

Certificats et PKI

La tentative d'import d'un certificat déjà présent dans la PKI du firewall alors que la case Écraser le contenu existant dans la PKI était décochée, n'entraîne plus une duplication de ce certificat sur le firewall.

Lors d'une connexion à un firewall depuis un serveur SMC, le firewall contrôle désormais que le certificat de ce serveur SMC comporte bien un champ ExtendedKeyUsage disposant de l'attribut ServerAuth.

Supervision des certificats et des CRL

Référence support 76169

Dans le cas d'un cluster HA, le mécanisme de supervision de la date de validité des certificats et des CRL sur le firewall passif n’entraîne plus à tort l'émission toutes les 10 secondes d'événements système de type Validité de certificat passif (événement 133) ou Validité de CRL passive (événement 135).

De plus, le mécanisme de supervision de la date de validité des CRL ne génère désormais une alerte que lorsqu'une CRL a dépassé la moitié de sa durée de validité et qu'elle expire dans un délai inférieur à 5 jours.

Mise à jour de firmware

Le certificat utilisé pour la signature des mises à jour de firmware comporte désormais une OID spécifique, contrôlée par le mécanisme de vérification des fichiers de mises à jour du firewall.

Authentification Radius

Référence support 74824

Dans une configuration d'authentification par serveur Radius avec clé pré-partagée, la sélection d'un autre objet machine dans le champ Serveur puis la sauvegarde de cette seule modification n’entraînent plus la suppression de la clé pré-partagée initialement renseignée.

Sauvegardes automatiques

Référence support 75051

Le mécanisme de vérification des certificats des serveurs de sauvegardes automatiques a été modifié suite à l'expiration du certificat précédent.

Référence support 77432

L'absence du répertoire "/log" n'empêche plus le fonctionnement correct des sauvegardes automatiques.

Interfaces réseau

Référence support 76645

Lors de la suppression d'un bridge, toutes les occurrences de ce bridge sont désormais correctement enlevées des fichiers de configuration, n'empêchant ainsi plus l'affichage des nouvelles interfaces lors de l'ajout d'un nouveau module réseau.

Relai DHCP

Référence support 75491

Lorsque des interfaces GRE sont définies sur le firewall, l'action de cocher la case Relayer les requêtes DHCP pour toutes les interfaces ne provoque plus un redémarrage en boucle du service Relai DHCP.

Réseau

Routage dynamique bird

Référence support 77707

La directive check link utilisée dans la section protocol direct du fichier de configuration du routage dynamique bird est désormais correctement prise en compte pour les interfaces réseau de type IXL (modules d'extension réseau 4x10Gbps et 2x40Gbps fibre pour SN2100, SN3100 et SN6100, modules 4x10G BASE-T pour SN710, SN910, SN2000, SN2100, SN3000, SN3100, et SN6100, ports onboard 10Gbps fibre du SN6100) et IGB (SNi20, SNi40, SN2000, SN3000, SN6000, SN510, SN710, SN910, SN2100, SN3100, SN6100).

Interfaces

Références support 73236 - 73504

Sur les modèles de firewalls SN2100, SN3100, SN6100 et SNi40, un risque de perte de paquets pouvait survenir lorsqu'un câble était relié sur :

  • L'un des ports de management (MGMT) des firewalls modèles SN2100, SN3100, SN6100,

    ou
  • L'une des interfaces d'un firewall modèle SNi40.

Ce problème a été corrigé par la mise à jour du pilote de ces interfaces.

Wi-Fi

Référence support 75238

La modification du mot de passe d'accès à un réseau Wi-Fi hébergé par le firewall est désormais correctement prise en compte lors de l'enregistrement de ce changement de configuration.

Supervision du matériel

Les événements système (identifiants 88 et 111) sont désormais générés lorsqu'un module d'alimentation défectueux revient à l'état optimal (module remplacé ou rebranché).

Prévention d'intrusion

Protocole TNS - Oracle

Références support 77721 - 71272

L'analyse d'une communication client-serveur TNS - Oracle soumise à de la fragmentation de paquets et à de la translation d'adresse (NAT) engendrait une désynchronisation du flux du fait de la réécriture des paquets. Ce problème a été corrigé.

Protocole TCP

Référence support 76621

Lorsqu'un seuil était défini pour le Nombre maximal de connexions simultanées par machine source dans la configuration du protocole TCP, et qu'une règle de filtrage basée sur le protocole TCP était sujette à une tentative de déni de service de type Syn Flood, les paquets incriminés étaient correctement bloqués mais aucune alarme n'était remontée dans le fichier de logs correspondant (l_alarm). Cette anomalie a été corrigée.

Protocole RTSP

Référence support 73084

Lorsqu'une requête RTSP utilisant un mode de transport RTP/AVP/UDP traverse le firewall, le moteur d'analyse RTSP ne supprime plus le champ Transport et les canaux de diffusion s'établissent correctement.

Routage par politique (PBR)

Référence support 77489

Lors de la création d'une connexion initiée par le firewall, la recherche au sein du moteur de prévention d'intrusion d'un éventuel besoin de routage par politique de filtrage pouvait aboutir à un problème d'accès concurrentiel et entraîner un blocage du firewall. Ce problème a été corrigé.

Protocole HTTP

L'analyse du protocole HTTP ne génère plus d'alarme et n'entraîne plus de blocage de flux lorsqu'un champ de l'entête HTTP est vide, notamment dans le cas où un message SOAP est encapsulé dans une requête HTTP.

Références support 74300 - 76147

Lorsque une valeur est renseignée dans le champ Longueur max. d'un attribut HTML (octets) (module Protection applicative > Protocoles > HTTP > onglet IPS > Analyses HTML/Javascript), et qu'un paquet présente un attribut excédant cette valeur, le firewall ne renvoie plus à tort l'erreur "Attaque possible des ressources (parser data handler (not chunked))" mais bien l'erreur "Dépassement de capacité dans un attribut HTML".

Protocole NTP

Référence support 74654

Afin d'améliorer la compatibilité avec certains éditeurs, la taille maximale des paquets NTP v3 considérés comme valides est désormais fixée à 120 octets par défaut.

Compteur de connexions

Référence support 74110

Des optimisations ont été apportées au mécanisme de comptage des connexions simultanées afin de ne plus déclencher à tort l'alarme "Nombre de connexions par machine source autorisées atteint" (alarme tcpudp:364).

Protocole DNS

Référence support 71552

La gestion des requêtes de mise à jour d'enregistrements DNS a été améliorée pour se conformer à la RFC 2136 et pour ne plus déclencher à tort l'alarme bloquante "Protocole DNS invalide" (alarme dns:88).

Mise en quarantaine sur alarme du nombre de connexions

Référence support 75097

Lorsque l'action de mise en quarantaine est paramétrée pour l'alarme "Nombre de connexions par machine source autorisées atteint" (alarme tcpudp:364), la machine déclenchant cette alarme est désormais correctement ajoutée à la liste noire pour la durée de mise en quarantaine paramétrée.

Filtrage - Protocole SIP

Référence support 76009

Un message d'erreur est désormais affiché lors de la tentative d'activation d'une règle de filtrage telle que :

  • L'option Redirection d'appels SIP (UDP) entrants est activée (Action > Configuration avancée > Redirection),
  • Deux ports destination ou plus sont définis, l'un reposant sur le protocole ANY, et au moins un autre étant basé sur le protocole UDP ou TCP.

Routage par politique

Référence support 76999

Lors du changement d'un routeur directement au sein d'une règle de filtrage (PBR), les tables de connexions IPState (protocoles GRE, SCTP...) tiennent désormais compte du nouvel identifiant de routeur.

Matériel

Firewalls modèle SN6000

Références support 75577 - 75579

Dans des cas rares, un message indiquant que des modules d'alimentation sont manquants peut être envoyé à tort sur un firewall modèle SN6000 équipé d'un module IPMI en version 3.54. Afin de pallier ce problème, un mécanisme de redémarrage du module IPMI a été mis en place.

Désactivé par défaut, ce mécanisme n'affecte pas le trafic traversant le firewall mais rend temporairement indisponible le rafraîchissement des informations des composants. Ce mécanisme nécessite un délai d'environ cinq minutes pour arriver à son terme, comprenant le temps de redémarrage du module IPMI ainsi que le temps nécessaire pour rafraîchir les informations des composants.

Ce nouveau paramètre est uniquement modifiable à l'aide de la commande CLI / SSH :

setconf /usr/Firewall/ConfigFiles/system Monitord EnableRestartIPMI <0|1>

Pour plus d'informations concernant la syntaxe de cette commande, veuillez vous référer au Guide de référence des commandes CLI / SSH.

Machines virtuelles

EVA sur Microsoft Azure

Référence support 76339

Le fichier de traces du service Microsoft Azure Linux Guest Agent (fichier waagent.log) a été déplacé dans le répertoire "/log" du firewall afin de ne plus risquer de saturer le système de fichiers "/var" du firewall.

Interface Web d'administration

Utilisateurs et groupes

Référence support 78413

Dans le cas d'un annuaire possédant plusieurs milliers d'enregistrements (notamment dans des groupes imbriqués), la requête d'affichage des utilisateurs et groupes pour une sélection (exemple : module Filtrage et NAT) pouvait être extrêmement longue et aboutir au blocage de l'affichage du module utilisé. Ce problème a été corrigé.

Rapports

Référence support 73376

Le rapport "Top des sessions administrateurs" affiche désormais toutes les sessions des administrateurs du firewall, c'est-à-dire celles du compte admin (super administrateur) ainsi que toutes celles des utilisateurs et groupes d'utilisateurs ajoutés en tant qu'administrateurs. Auparavant, il n'incluait que les sessions du compte admin (super administrateur).

Modules réseau 40 Gb/s

Le débit maximum indiqué dans le panneau de configuration des interfaces est désormais bien de 40 Gb/s pour les modules réseau concernés.

Protocoles

Référence support 75435

Le filtre de recherche appliqué à l'arbre des protocoles (Protection applicative > Protocoles) ne reste désormais plus appliqué après un rechargement du module.

Supervision des interfaces

Référence support 76162

Le débit théorique des interfaces Wi-Fi tient désormais compte de la norme utilisée (A/B/G/N) et n'indique plus systématiquement 10 Mb/s.

Supervision Matériel / Haute Disponibilité

Le N° de série des deux membres du cluster est désormais affiché dans la liste des indicateurs.

Annuaires LDAP

Référence support 69589

L'accès à un annuaire LDAP externe hébergé sur un autre firewall Stormshield par le biais d'une connexion sécurisée (SSL) et en ayant coché la case Vérifier le certificat selon une Autorité de certification fonctionne désormais correctement.

Filtrage et NAT

Référence support 76698

Les objets réseau définis uniquement par une adresse MAC sont désormais correctement listés parmi les objets réseau disponibles lors de la création d'une règle de filtrage.

Routage statique - Routes de retour

Références support 77012 - 77013

Il est désormais possible de sélectionner une interface USB / Ethernet (modem 4G) comme interface de routage lors de l'ajout d'une route statique ou d'une route de retour.

Filtrage - Règles implicites

Référence support 77095

Lorsque l'administrateur demande à désactiver toutes les règles implicites, la commande système de désactivation est désormais correctement appliquée.

VPN SSL

Référence support 76588

A l'ouverture du module de paramétrage du VPN SSL, la fenêtre indiquant que le portail captif n'est pas activé sur les interfaces externes ne s'affiche plus à tort lorsque cette activation a bien été réalisée.

Objets routeurs globaux

Référence support 76552

Un double clic sur un objet routeur global propose désormais correctement la fenêtre d'édition de routeurs et non plus la fenêtre d'édition de machines.

Protocoles - DNS

Référence support 72583

Après avoir modifié l'action appliquée à un type d'enregistrement DNS, l'affichage successif d'autres profils DNS n'entraîne plus un défaut de rafraîchissement de la grille des types d'enregistrements DNS et des actions appliquées.

Noms d’utilisateurs

Référence support 74102

L'enregistrement d'un nom d'utilisateur dans les tables du moteur de prévention d'intrusion n'est désormais plus sensible à la casse. Ceci permet d'assurer la correspondance des noms avec les règles de filtrage basées sur des noms d'utilisateurs authentifiés.

Méthodes d'authentification

Référence support 76608

Lors du premier accès au module Utilisateurs > Authentification, après avoir navigué sans réaliser aucune modification, puis en quittant le module, le message proposant de sauvegarder les modifications n'est plus affiché à tort.