Correctifs de SNS 4.4.1

Système

Connexion SSH sur un cluster

Un administrateur connecté en SSH sur le membre actif d'un cluster avec son propre compte (autre que le compte admin) était obligé de saisir le mot de passe du compte admin s'il souhaitait également se connecter en SSH au membre passif du cluster. Cette anomalie a été corrigée.

Requêtes HTTP

Référence support 83085

Suite à un changement de composant dans la version SNS 4.1.1, les en-têtes User-Agent et Connection: close n'étaient plus présentes dans les requêtes HTTP, ce qui pouvait notamment bloquer la récupération automatique des CRL. Ce problème a été corrigé.

Proxy SSL

Référence support 73331

Le proxy SSL accepte désormais le caractère "_" dans les noms des FQDN pour l'extension SNI (Server Name Indication).

Commandes CLI / Serverd

L'aide retournée par la commande CONFIG IPSEC PEER NEW HELP indique désormais une plage de valeurs correcte pour le jeton ikedscp (<0-63> au lieu de la valeur erronée précédente <0-56>).

L'aide retournée par la commande CONFIG COMMUNICATION SYSLOG PROFILE UPDATE HELP précise désormais bien l'existence du jeton LogRouterStat.

Gestion du matériel - Firewalls modèles SN160(W), SN210(W) et SN310

Références support 82933 - 84307

Lors de l'extinction d'un firewall modèle SN160(W), SN210(W) ou SN310, une anomalie dans l'ordre d'arrêt des mécanismes de gestion du matériel empêchait le voyant lumineux Online de s'éteindre. Cette anomalie, qui pouvait laissait penser que le firewall n'était pas correctement arrêté, a été corrigée.

Filtrage et NAT

Référence support 82534

Une anomalie dans l'export CSV des règles de NAT a été corrigée : cet export prend désormais en compte le contenu de la colonne Protocole.

Référence support 79079

Une interface VPN SSL (TCP / UDP) est désormais directement sélectionnable comme interface source au sein d'une règle de filtrage.

VPN IPsec et GRE

Référence support 82051

La double encapsulation ESP -> GRE -> ESP (encapsulation d'un tunnel IPsec dans un tunnel GRE, lui même encapsulé dans un tunnel IPsec) fonctionne de nouveau. Cette régression était apparue en version SNS 4.1.

Limiter la durée des sessions distantes d'administration

La fonction permettant au super-administrateur de limiter la durée maximale d’inactivité autorisée des comptes administrateurs sur le firewall fonctionne à nouveau (régression apparue en version SNS 4.2).

Proxy HTTP

Référence support 80100

La modification de la configuration ICAP (en particulier la désactivation de cette configuration) d'un profil d'analyse protocolaire HTTP alors qu'une connexion impliquant ICAP est en cours ne provoque plus un blocage inopiné du proxy.

Interface Ethernet inactive avec adresse MAC forcée et VLAN rattaché

Référence support 80970

Lorsqu'on forçait l'adresse MAC d'une interface Ethernet parente d'un VLAN, ce VLAN n'héritait pas de l'adresse MAC forcée. Cette anomalie a été corrigée.

Mode console et port série activé

Référence support 82054

Sur un firewall avec la configuration d'affichage mode console et port série activée, il était anormalement obligatoire de connecter un clavier et un écran physique pour pouvoir effectuer un redémarrage en mode single user (pour un changement de mot de passe du compte admin par exemple). Ce problème a été corrigé.

Logs

Référence support 82287

La taille de la file de traitement des logs ainsi que la mémoire allouée à ce traitement ont été augmentées afin de minimiser les risques de perte de logs en cas de forte activité du firewall.

Prévention d'intrusion

Protocole MMS - Mode IDS

Le mode IDS appliqué à une règle de filtrage portant sur des flux MMS se comportait à tort comme le mode IPS et bloquait les paquets incriminés plutôt que de déclencher uniquement les alarmes correspondantes.

Protocole NTP

L'alarme "NTP : KoD refusé" (alarme ntp:456) n'est plus remontée à tort pour du trafic NTP légitime lorsqu'un paquet KoD (Kiss'o'Death) NTP n'est pas présent dans la liste blanche et est réglé sur l'adresse sur l'adresse IP du serveur NTP.

Protocole SIP

Dans le cas d'une règle de filtrage de flux SIP entrants, avec l'option Redirection d'appels SIP (UDP) entrants activée (serveur SIP interne), les requêtes OPTIONS destinées à demander la capacité du serveur SIP ne sont désormais plus bloquées à tort. Cette régression était apparue en version SNS 4.0.3.

Protocoles Ethernet

Le profil d'analyse "(0)" était systématiquement appliqué pour l'analyse des protocoles Ethernet (Profinet IO, Profinet RT, IEC 61850...) et les autres profils étaient ignorés. Ce problème a été corrigé.

Protocole TCP-UDP

Une anomalie dans la gestion du compteur de connexions du moteur d'analyse protocolaire TCP-UDP a été corrigée.

Requêtes ARP pendant un rechargement de configuration du moteur de prévention d'intrusion

Référence support 84272

Un problème d'accès concurrentiel lié à des requêtes ARP effectuées pendant un rechargement de configuration du moteur de prévention d'intrusion pouvait aboutir à un blocage inopiné du firewall. Ce problème a été corrigé.

Interface Web d’administration

Configuration des annuaires

Référence support 82849

Le choix None dans le champ de sélection d'un serveur LDAP de secours ne provoque plus à tort une erreur système "Hôte de backup invalide".

VPN IPsec

Référence support 83017

Il n'est désormais plus possible d'affecter la valeur Inactif au mode DPD (Dead Peer Detection) lors de la création ou la modification d'un correspondant IPsec. Cette valeur n'était en effet plus supportée et provoquait une erreur système "Erreur d'arguments Commande : CONFIG IPSEC PEER UPDATE dpd_mode=off".

Filtrage URL / SSL / SMTP

Référence support 83587

La modification d'une règle de filtrage URL / SSL /SMTP par une action de glisser / coller n'entraînait pas l'activation du bouton Appliquer, bien que la modification ait été prise en compte. Cette anomalie a été corrigée.

Interfaces VLAN

Référence support 83873

L'action de créer un VLAN, de le renommer sans avoir préalablement enregistré la modification de configuration, de créer un autre VLAN sur la même interface physique et de renommer ce deuxième VLAN provoquait une erreur indiquant que les deux VLAN portaient le même nom. Cette anomalie a été corrigée.

Authentification - Annuaire Microsoft Active Directory

Référence support 52539

Lorsque la requête d'affichage des utilisateurs d'un annuaire externe Microsoft Active Directory dépasse le paramètre MaxSizeLimit paramétré sur le serveur Microsoft Active Directory, le message d'erreur système No user found n'est plus affiché à tort : le firewall affiche désormais le nombre maximal d'utilisateurs pouvant être récupérés et présente un message indiquant que la limite du nombre d'utilisateurs récupérables a été atteinte.

Recherches dans les logs

Référence support 77587

Des optimisations ont été mises en œuvre afin de réduire les temps de recherche dans les logs.

Nom de domaine VPN SSL

Référence support 74996

Le champ Nom de domaine DNS destiné aux clients du service VPN SSL refusait à tort le caractère "_". Cette anomalie a été corrigée.

Filtrage

Référence support 80794

Lorsqu'une règle utilisant le protocole ICMP comme critère de filtrage était clonée, que sa copie était modifiée en remplaçant ICMP par un autre protocole, puis que cette copie était à son tour clonée en une troisième règle, alors cette troisième règle comportait à tort les références au protocole ICMP de la règle d'origine. Ce comportement inapproprié, qui empêchait l'activation de la politique de filtrage et provoquait une erreur "Cette règle comporte un filtre sur des messages ICMP alors que le protocole défini n'est pas ICMP", a été corrigé.

Objets réseau - Plage d'adresses MAC

Référence support 77968

Lors de la création d'un objet réseau de type plage d'adresses MAC, l'utilisation de la notation condensée (sans séparateur de type ":" ou "-". Exemple : 01af3b54c89c) est acceptée et ne provoque plus à tort le message d'erreur "Adresse MAC invalide".

Supervision système

Référence support 81041

Le mécanisme de supervision système envoyait à tort et de manière systématique la commande de vérification de la synchronisation du cluster, même lorsque la HA n'était pas activée sur le firewall. Cette anomalie, qui entraînait l’affichage toutes les minutes d'un message d'erreur "200 HA non initialisée" dans le panneau d'affichage des messages situé en bas de chaque module de configuration, a été corrigée.