Correctifs de SNS 4.6.6
Système
VPN IPsec
Référence support 84823 - 84437
Le paramètre half_open_timeout peut désormais être personnalisé à l'aide de la commande CLI / Serverd CONFIG IPSEC UPDATE HalfOpenTimeout=<value> (30 secondes par défaut).
Ce paramètre permet de définir le délai à partir duquel une association IKE incomplète est supprimée (authentification du client IPsec en attente par exemple).
Référence support 84701
Dans une configuration IPsec telle que :
- L'un des réseaux distants recouvrait un réseau local directement connecté ou joignable par une route statique,
- Ce réseau distant n'était pas placé en première position dans la politique IPsec,
- L'option BypassLocalTraffic était activée (à l'aide de la commande CLI / Serverd CONFIG IPSEC UPDATE slot=<1-10> BypassLocalTraffic=1).
Les phases 2 IPsec correspondantes n'étaient pas enregistrées dans la Security Policy Database et le tunnel ne s'établissait pas. Ce problème a été corrigé.
VPN IPsec - IKEv1 - Authentication par certificat et XAuth
Référence support 84775
Lors de l'établissement d'un tunnel IPsec IKEv1 avec authentification par certificat et XAuth, les groupes d'utilisateurs sont désormais correctement enregistrés dans les tables du moteur de prévention d'intrusion. L'utilisation de ces groupes au sein des règles de filtrage est donc de nouveau fonctionnelle. Cette régression était apparue en version SNS 4.2.
VPN IPsec - Mode DR
Référence support 85051
Pour un tunnel en mode DR, la requête CREATE_CHILD_SA arrive désormais à son terme et la renégociation des clés de la Child SA en phase 1 n'échoue donc plus.
Authentification Kerberos et TOTP
Référence support 84859
Dans une configuration utilisant l'authentification Kerberos et TOTP, le champ Code OTP est désormais correctement affiché sur le portail captif. La connexion d'un utilisateur ne retourne donc plus l'erreur "Code TOTP manquant".
Authentification par certificat
Référence support 84981
Dans une configuration utilisant l'authentification par certificat et ayant un annuaire LDAP de secours configuré, l'absence de réponse du serveur LDAP principal provoque désormais bien la bascule sur le serveur LDAP de secours.
Elastic Virtual Appliances (EVA)
Référence support 84714
Le mécanisme d'hyper-threading est de nouveau activé par défaut sur les machines virtuelles EVA qui disposent donc ainsi du nombre attendu de CPU virtuelles. Cette régression était apparue en version SNS 4.2.
Paquets multicast
Référence support 85180
La ré-écriture des paquets multicast par le moteur de prévention d'intrusion pouvait amener à un double déréférencement provocant un redémarrage inopiné du firewall. Ce problème a été corrigé.
Interface Web d'administration
Interfaces VLAN
Référence support 84822
La création d'un VLAN rattaché à une interface dont le nom excédait 10 caractères échouait. En effet, après que l'interface Web d'administration avait imposé de réduire la taille du nom généré pour ce VLAN, celui-ci apparaissait dans la liste des interfaces alors qu'il n'était pas réellement créé. Il n'était par exemple pas possible de lui affecter une adresse IP fixe à l'issue de ces opérations. Ce problème a été corrigé.