Correctifs de SNS 4.5.3

Système

Haute disponibilité - VPN IPsec

Références support 84273 - 84460

Un problème de synchronisation des SA (Security Associations) lors d'une bascule au sein d'un cluster, et qui pouvait entraîner un dysfonctionnement des tunnels VPN IPsec, a été résolu.

Haute disponibilité (HA) - Synchronisation

Référence support 84340

Le mécanisme de synchronisation de la HA ne provoque plus d'erreur lorsque le fichier relatif au mécanisme de retour arrière pour les déploiements de configuration via SMC est absent.

Authentification - TOTP

L'action de décocher la case d'authentification via TOTP sur le portail captif (menu Utilisateurs > Authentification) désactivait à tort la page d'enrôlement TOTP sur le portail captif, cette page étant nécessaire pour les autres modules utilisant potentiellement la méthode TOTP (VPN SSL, Interface Web d'administration, SSH / Console, IPsec / Xauth). Cette anomalie a été corrigée.

VPN IPsec

Référence support 84568

Un paramètre manquait à l'option keepalive lors de l'appel de la commande de rechargement d'une politique IPsec. Cette anomalie entraînait l'événement système 52 "Une événement a renvoyé un code d'erreur non géré : IPSEC_KEEPALIVE_30->4" mais n'empêchait cependant pas le rétablissement des tunnels VPN IPsec.
Cette régression, apparue en version SNS 4.3.8, a été corrigée.

Référence support 84569

L'envoi réussi d'un paquet keepalive ne provoque plus à tort l'émission de l'événement système 52 "Un événement a renvoyé un code d'erreur non géré : IPSEC_KEEPALIVE_30->4". Cette régression était apparue en version SNS 4.3.8.

Références support 82578 - 84680

Des problèmes d'accès concurrentiels provoquant une instabilité des tunnels IPsec ont été résolus. Cela rendait inopérante la supervision des tunnels et générait des entrées du type "job load of XXX exceeds limit of YY" dans les logs VPN IPsec.

VPN IPsec au travers d'une passerelle par défaut de type dialup

Référence support 84631

Lorsque la passerelle par défaut est basée sur un modem PPPoE (connexion de type dialup), les tunnels IPsec établis au travers de cette passerelle par défaut remontent désormais correctement après une perte temporaire puis un rétablissement de la connexion dialup.

NAT dynamique et DHCP pour les interfaces de sortie

Référence support 83297

La présence d'une règle de NAT dynamique associée à l'utilisation de DHCP pour définir les adresses des interfaces de sortie pouvait entraîner un blocage du firewall lors du rechargement des règles de filtrage dans le moteur de prévention d'intrusion. Ce problème a été corrigé.

Services Web personnalisés

Référence support 84496

Dans certaines conditions, les services Web personnalisés comportant un caractère joker ("*") dans leur FQDN pouvaient ne pas être correctement pris en compte dans des règles de filtrage bloquantes. Cette anomalie a été corrigée.

Dans le cas d'une base de services Web personnalisés de grande taille, l'import de services Web personnalisés s'interrompt et un message d'avertissement est affiché lorsque la partition destinée à recevoir la base de services personnalisée atteint 95% de remplissage.

Mécanisme de gestion des logs

Références support 84605 - 84577

Des problèmes de fuites mémoire dans le mécanisme de gestion des logs, qui pouvaient entraîner un arrêt inopiné de ce mécanisme, ont été corrigés.

Routage statique - VPN IPsec

Référence support 84507

Le rechargement des règles de filtrage suite à la modification d'une route statique utilisée par un tunnel IPsec n'aboutit plus à un potentiel arrêt inopiné du moteur de routage statique du firewall.

Routage dynamique Bird

Référence support 84337

Les réseaux déclarés dans le routage dynamique Bird sont de nouveau correctement classifiés comme réseaux protégés dans le moteur de prévention d'intrusion et ne déclenchent plus à tort d'alarme concernant une tentative d'IP spoofing. Cette régression était apparue en version SNS 4.3.

VPN SSL

Référence support 84610

La fonction inactive=<seconds> du VPN SSL peut désormais être correctement appliquée via la commande CLI / Serverd CONFIG OPENVPN UPDATE.

Moteur de prévention d'intrusion

Rechargement de la configuration réseau

Références support 84522 - 84198

Des optimisations ont été apportées au mécanisme de rechargement de la configuration réseau (notamment lorsque aucun changement de configuration n'est intervenu) afin de diminuer le temps de rechargement, de réduire la consommation CPU associée et la durée de non-joignabilité du firewall lié à cette opération.

Protocole IEC61850 MMS - Mode IDS

Le niveau d'inspection IDS appliqué à une règle de filtrage portant sur des flux IEC61850 MMS ne se comporte plus à tort comme le niveau d'inspection IPS et ne bloque plus les paquets incriminés au lieu de déclencher uniquement les alarmes correspondantes.

Protocole HTTP

Référence support 82824

Suite à une requête PUT ou POST de la part du client, et lorsque le serveur HTTP renvoie une réponse autre que le message "100 Continue", le moteur d'analyse protocolaire HTTP ne déclenche plus à tort l'alarme bloquante "Données additionnelles en fin de réponse" (alarme http:150).

Protocole TLS - Vérification des certificats serveurs

Référence support 84244

Des optimisations ont été apportées au mécanisme de vérification des certificats serveurs : lorsque plusieurs demandes concernant la vérification d'un même certificat serveur sont reçues de manière quasi-simultanée, une seule requête interne est émise afin de ne pas saturer la file d'attente du mécanisme de vérification et de ne plus risquer de provoquer un blocage de celui-ci pendant plusieurs dizaines de secondes.

Interface Web d'administration

Balises HTML dans les messages de logs

Référence support 84494

Lorsque l'interface Web d'administration détecte des balises HTML dans les messages d'erreurs associés à certaines entrées de logs, elle n'affiche plus à tort le message d'erreur "XSS protection: HTML tag found in following commands".

Filtrage avec QoS - Balises HTML dans un message d'avertissement

Le message d'avertissement affiché après l'activation ou la désactivation d'une règle de filtrage faisant référence à une file d'attente de QoS supprimée comportait à tort des balises HTML. Cette anomalie a été corrigée.

Certificats et PKI

Référence support 84470

La tentative de génération de la CRL d'une sous-autorité de certification n'exige plus à tort la clé privée de l'autorité de certification racine et ne provoque plus d'erreur système.

Certificats et PKI - Point de Distribution de CRL (CRLDP)

Référence support 84618

L'ajout d'un CRDLP (module Objets > Certificats et PKI > onglet Profils de certificats de la CA sélectionnée) ne proposait pas la possibilité d'Activer la récupération régulière des listes de révocation de certificats (CRL). Cette anomalie, qui pouvait empêcher l'établissement de tunnels IPsec basés sur des certificats, a été corrigée.