Correctifs de SNS 4.6.10

Système

VPN IPsec

Références support 84572 - 84708 - 85270 - 85272

La présence d'un caractère issu d'un encodage autre que l'ASCII dans le sujet du certificat d'une CA de confiance n'empêche plus l'établissement du tunnel IPsec basé sur cette CA.

VPN - Vérification de révocation des certificats des correspondants (CRL)

Référence support 82506

Le déploiement d'une topologie VPN depuis un serveur SMC dont le paramètre CRLRequired est activé n'écrase plus sur le firewall SNS la liste de révocation de certificats (CRL) de la CA.

VPN IPsec - IKEv1 - Authentication par certificat et XAuth

Référence support 85283

Lors de l'établissement d'un tunnel IPsec IKEv1 avec authentification par certificat et XAuth, les groupes d'utilisateurs sont désormais correctement enregistrés dans les tables du moteur de prévention d'intrusion. L'utilisation de ces groupes au sein des règles de filtrage est donc de nouveau fonctionnelle. Cette régression était apparue en version SNS 4.2.

Authentification SSH multi-utilisateur - Commande SCP

Référence support 84848

Les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" peuvent de nouveau exécuter la commande SCP en SSH. Le compte "admin" n'était pas concerné par ce problème.

Firewalls industriels SNi40

Référence support 85078

Sur un firewall SNi40 avec le bypass configuré en mode Sûreté, le mode actif du bypass pouvait être affiché à tort comme étant le mode Sécurité. Ce problème a été corrigé.

Firewalls modèles SN-S-Series-320 et SN-M-Series-520

Le nombre maximal de connexions HTTP / FTP / SMTP / POP3 autorisées pour les firewalls modèles SN-S-Series-320 et SN-M-Series-520 était erroné et est corrigé lors de la mise à jour du firewall en version 4.6.10 ou supérieure.

Répartition de charge IPsec sur les CPU - Firewalls modèles SN510, SN2000, SN2100 et SN3100

Un problème d'accès concurrentiels dans le mécanisme de répartition de charge du chiffrement IPsec sur les CPU a été corrigé pour les firewalls modèles SN510, SN2000, SN2100 et SN3100. Pour rappel, la répartition de charge de chiffrement IPsec est configurable via la commande CLI / Serverd CONFIG IPSEC CRYPTOLB UPDATE.

Module 8 ports RJ45

Références support 82270 - 85269

Lorsque des blocages inopinés du module réseau 8 ports RJ45 sont détectés, un redémarrage automatique du firewall est déclenché pour permettre la reconnexion de ce module au réseau.

Proxies

Références support 85041 - 85048 - 85260 - 85286 - 85314

Un blocage des proxies ne se produit plus lorsqu'une règle de déchiffrement SSL rencontre un certificat présentant les caractéristiques suivantes :

  • Certificat avec un champ Sujet vide,
  • Certificat signé par une autorité n'étant pas reconnue de confiance par le proxy (exemple : CA auto-signée).

Et que l'action d'analyse du protocole SSL Certificats inconnus est positionnée à Déléguer à l'utilisateur.

Référence support 85254

Des problèmes de fuites mémoire dans les proxies ont été corrigés.

Supervision des tunnels IPsec

Référence support 85318

Dans la supervision des tunnels IPsec, une anomalie faisant apparaître les tunnels établis avec un correspondant en mode Responder-only comme des politiques d'exception (bypass) a été corrigée.

VPN SSL

Pour le serveur VPN SSL, il est désormais interdit de sélectionner :

  • Un port d'écoute TCP inférieur à 1024,
  • Un port d'écoute UDP inférieur à 1024 à l'exception du port UDP/443.

Moteur de prévention d'intrusion

Requête ICMP

Références support 84197 - 85387

Dans le cas d'un firewall avec :

  • Un serveur derrière une interface protégée,

  • Deux accès Internet distincts.

Suite à une requête depuis un réseau non protégé vers le serveur, si le serveur n'écoutait pas sur le port demandé, les paquets ICMP type 3 qu'il renvoyait empruntaient toujours la route par défaut. Les paquets passent à présent par la route de retour configurée.

Protocole NTP

Référence support 85077

Une vérification du champ NTP reference_timestamp déclenchait à tort une alarme 451 dans le plugin NTP. Cette vérification étant superflue, elle a été supprimée.

Haute disponibilité

Référence support 84766

Lors d'une bascule au sein du cluster, une anomalie dans le traitement de certaines connexions TCP / UDP déjà établies pouvait entraîner une instabilité du cluster. Cette anomalie a été corrigée.

Interface Web d'administration

VPN IPsec

Référence support 85312

La présence d'un espace dans le nom d'une configuration VPN IPsec nomade empêche le rechargement de la politique IPsec et la rend non fonctionnelle. L'interface Web d'administration du firewall et la commande CLI / Serverd CONFIG IPSEC POLICY MOBILE UPDATE interdisent désormais la saisie de ce caractère dans le nom d'une politique IPsec nomade.

Référence support 85334

La suppression du nom d'une règle de VPN IPsec est désormais interdite. Une règle avec un nom vide bloque en effet le rechargement de la politique IPSec complète.

Filtrage SMTP

Référence support 85347

L'interface Web d'administration n'interdit plus à tort de définir plusieurs règles référençant le même expéditeur pour des destinataires différents. Cette régression était apparue en version 4.0.

Haute disponibilité - Supervision

Référence support 85398

L'affichage des versions de firmware installées sur les partitions principales et de secours du membre passif du cluster est désormais correct.