Correctifs de SNS 4.6.11

Système

Proxies

Références support 85428 - 85495 - 85491

Des problèmes de blocages inopinés des proxies lors d'un rechargement de configuration ont été corrigés.

Captures réseau avec tcpdump sur interface usbus

Références support 85083- 85313

Le lancement d'une capture réseau avec l'utilitaire tcpdump sur une interface de type usbus ne provoque plus un redémarrage inopiné du firewall.

Firewalls virtuels EVA

Référence support 85273

Sur un firewall virtuel EVA, la limitation du nombre de CPU associée à l'activation de l'hyperthreading ne provoque plus un redémarrage inopiné du firewall.

QoS

Référence support 85019

Un problème dans la gestion de la suppression d'une file d'attente de type CBQ utilisée en tant que File d'attente d'acquittement (ACK) au sein d'une règle de filtrage pouvait aboutir à un redémarrage inopiné du firewall. Ce problème a été corrigé.

SD-WAN

Des incohérences dans l'unité de mesure utilisée pour les calculs et pour l'affichage du taux d'indisponibilité des passerelles ont été corrigées.

Référence support 85253

Pour les configurations SD-WAN utilisant les seuils de SLA et dans lesquelles les passerelles principales d'un objet routeur présentent des scores SLA très proches, des optimisations permettent désormais d'éviter des changements trop fréquents de priorité entre ces passerelles.

Passage en version SNS inférieure

Référence support 85247

Lors du passage d'un firewall dans une version SNS inférieure sans remise en configuration d'usine (defaultconfig), une tentative d'affichage de la liste des alarmes disponibles n'entraîne plus des redémarrages inopinés du moteur de prévention d'intrusion et du serveur de configuration par commande (serverd).

NAT

Référence support 84819

Un problème a été corrigé dans le mécanisme de gestion du NAT. Ce problème pouvait remplir à tort la table des ports translatés utilisés pour des flux nécessitant des connexions filles (par exemple : FTP, RTSP...), empêchant alors la création d'une nouvelle connexion fille et provoquant l'interruption du trafic concerné.

Filtrage et NAT

Références support 85357 - 85376

Dans le cas d'une règle de filtrage faisant appel à un ensemble d'objets réseau dont un est lié à une interface configurée en DHCP et désactivée, le redémarrage du firewall ne provoque plus l'activation à tort de la règle de filtrage "(1) Block all". Cette régression était apparue en version SNS 4.6.8.

Référence support 85239

Dans une situation telle que :

  • Le firewall dispose d'un bridge regroupant plusieurs interfaces. Sur ce bridge :
    • Le trafic depuis une des interfaces du bridge vers une interface externe au bridge est autorisé par une règle de filtrage en mode Firewall,
    • Le trafic depuis une autre interface du bridge vers la même interface externe au bridge est bloqué par une autre règle de filtrage.
  • Une connexion est établie entre une machine cliente et le serveur via la première règle,
  • Une machine infectée ou une sonde d'intrusion située sur la même interface que le serveur envoie un paquet de type reset portant les mêmes références que la connexion établie (adresses source / destination et ports source / destination).

Même si le paquet de la machine infectée ou de la sonde d'intrusion était correctement bloqué, l'interface source de la machine cliente était cependant modifiée à tort et sa connexion établie avec le serveur était interrompue. Ce problème a été corrigé.

Connexion à l'interface Web d'administration avec le compte admin

Références support 85266 - 85309 - 85349 - 85437 - 85494

Dans certaines circonstances, une tentative de connexion à l'interface Web d'administration avec le compte admin pouvait échouer et provoquer un redémarrage inopiné du serveur de configuration par commande (serverd). Ce problème a été corrigé.

Haute disponibilité (HA)

Références support 77890 - 83274

Sur un firewall en haute disponibilité ayant fait l'objet de plusieurs bascules de rôle au sein du cluster, certains paquets empruntaient une route de retour erronée tout en présentant l'adresse IP de la bonne route de retour. Ce problème, qui provoquait l'interruption du flux concerné, a été corrigé.

Moteur de prévention d'intrusion

Analyse IPS - Alarmes

Référence support 85210

Des paquets provoquant l'une des alarmes intervenant avant le contrôle du filtrage traversaient néanmoins le firewall malgré la présence d'une règle de filtrage destinée à bloquer le trafic réseau correspondant. Ce problème a été corrigé.

Consultez la liste des alarmes intervenant avant le contrôle du filtrage dans la Base de Connaissances Stormshield (authentification nécessaire).

Protocole LDAP

Référence support 84561

Les paquets d'authentification GSSAPI sont désormais correctement pris en charge par le moteur d'analyse protocolaire LDAP et ne génèrent plus à tort une alarme de type "Mauvais protocole LDAP" (erreur ldap_tcp:427).