Correctifs de SNS 4.6.6

Système

VPN IPsec

Référence support 84823 - 84437

Le paramètre half_open_timeout peut désormais être personnalisé à l'aide de la commande CLI / Serverd CONFIG IPSEC UPDATE HalfOpenTimeout=<value> (30 secondes par défaut).

Ce paramètre permet de définir le délai à partir duquel une association IKE incomplète est supprimée (authentification du client IPsec en attente par exemple).

Référence support 84701

Dans une configuration IPsec telle que :

  • L'un des réseaux distants recouvrait un réseau local directement connecté ou joignable par une route statique,
  • Ce réseau distant n'était pas placé en première position dans la politique IPsec,
  • L'option BypassLocalTraffic était activée (à l'aide de la commande CLI / Serverd CONFIG IPSEC UPDATE slot=<1-10> BypassLocalTraffic=1).

Les phases 2 IPsec correspondantes n'étaient pas enregistrées dans la Security Policy Database et le tunnel ne s'établissait pas. Ce problème a été corrigé.

VPN IPsec - IKEv1 - Authentication par certificat et XAuth

Référence support 84775

Lors de l'établissement d'un tunnel IPsec IKEv1 avec authentification par certificat et XAuth, les groupes d'utilisateurs sont désormais correctement enregistrés dans les tables du moteur de prévention d'intrusion. L'utilisation de ces groupes au sein des règles de filtrage est donc de nouveau fonctionnelle. Cette régression était apparue en version SNS 4.2.

VPN IPsec - Mode DR

Référence support 85051

Pour un tunnel en mode DR, la requête CREATE_CHILD_SA arrive désormais à son terme et la renégociation des clés de la Child SA en phase 1 n'échoue donc plus.

Authentification Kerberos et TOTP

Référence support 84859

Dans une configuration utilisant l'authentification Kerberos et TOTP, le champ Code OTP est désormais correctement affiché sur le portail captif. La connexion d'un utilisateur ne retourne donc plus l'erreur "Code TOTP manquant".

Authentification par certificat

Référence support 84981

Dans une configuration utilisant l'authentification par certificat et ayant un annuaire LDAP de secours configuré, l'absence de réponse du serveur LDAP principal provoque désormais bien la bascule sur le serveur LDAP de secours.

Elastic Virtual Appliances (EVA)

Référence support 84714

Le mécanisme d'hyper-threading est de nouveau activé par défaut sur les machines virtuelles EVA qui disposent donc ainsi du nombre attendu de CPU virtuelles. Cette régression était apparue en version SNS 4.2.

Paquets multicast

Référence support 85180

La ré-écriture des paquets multicast par le moteur de prévention d'intrusion pouvait amener à un double déréférencement provocant un redémarrage inopiné du firewall. Ce problème a été corrigé.

Interface Web d'administration

Interfaces VLAN

Référence support 84822

La création d'un VLAN rattaché à une interface dont le nom excédait 10 caractères échouait. En effet, après que l'interface Web d'administration avait imposé de réduire la taille du nom généré pour ce VLAN, celui-ci apparaissait dans la liste des interfaces alors qu'il n'était pas réellement créé. Il n'était par exemple pas possible de lui affecter une adresse IP fixe à l'issue de ces opérations. Ce problème a été corrigé.