Correctifs de SNS 4.6.7

Système

Interfaces réseau

Référence support 85117

Les deux mécanismes alternatifs de renégociation des associations de sécurité IKE (mécanismes reauthentication et rekeying) ne sont plus lancés à tort l'un après l'autre. Cette régression, qui pouvait entraîner des pertes de paquets dans une configuration en mode Diffusion Restreinte (DR), était apparue en version SNS 4.2.0.

VPN SSL

Référence support 84841

La modification de la configuration VPN SSL sur un firewall avec un tunnel VPN SSL déjà établi pouvait empêcher le moteur de gestion des tunnels de redémarrer. Ce problème, qui empêchait les tunnels VPN SSL de s'établir suite à la modification de la configuration, a été corrigé.

Certificats et PKI

Références support 76892 - 85114

Lors de la création d'une demande de signature de certificat (CSR - Certificate Signing Request) à l'aide de la commande CLI / Serverd PKI REQUEST CREATE, si des Subject Alternative Name (SAN) ou des User Principal Name (UPN) sont précisés (adresses IP, FQDN...), ils sont désormais correctement pris en compte et apparaissent bien dans la CSR et le certificat signé.

Certificats et PKI - IPsec- Mode Diffusion Restreinte (DR)

Référence support 84942

Dans une configuration avec un chaîne de confiance du type : Autorité de Certification (certificat signé en RSA) -> Sous-Autorité de Certification (certificat signé en ECDSA ou ECSDSA sur courbe ECP 256 ou BP 256) servant d'ancre de confiance (TrustAnchor) -> Certificat (signé en ECDSA ou ECSDSA sur courbe ECP 256 ou BP 256), les tunnels IPsec en mode DR refusaient à tort de s'établir. Ce problème a été corrigé pour se conformer aux RFC de référence pour le mode Diffusion Restreinte.

Système - SNi20

Références support 84870 - 85037

Le mécanisme de surveillance de l'activité matérielle du firewall (watchdog) se déclenchait à tort avant le mécanisme de surveillance logicielle du système lorsque celui-ci était positionné sur sa valeur par défaut (120 secondes). Ce problème a été corrigé.

Supervision des tunnels IPsec

Référence support 84776

Le rafraîchissement de l'écran de supervision des tunnels IPsec ne provoque plus l'erreur système Command processing failed.

Supervision de la mémoire des firewalls SN310

Références support 85022 - 85155

Une anomalie dans la gestion des données de supervision de la mémoire pouvait provoquer à tort une alerte d’utilisation de la mémoire ainsi qu'un changement d'état de l'indicateur de santé correspondant dans le Tableau de bord des firewalls SN310. Cette anomalie a été corrigée.

Filtrage et NAT

Référence support 84495

Le mécanisme de rechargement des règles de filtrage et NAT a été optimisé afin d'éviter des accès superflus à la configuration. Cela pouvant entraîner une corruption de la liste des politiques de filtrage et NAT.

Référence support 84734

La présence dans la politique de filtrage de deux règles bloquantes vers et depuis une adresse MAC, positionnées avant la règle autorisant le VPN SSL, n'entraîne plus à tort un blocage du trafic empruntant le tunnel VPN SSL.

Traces - Syslog - IPFIX

Références support 84493 - 84876

Dans une configuration mettant en œuvre l'envoi de logs par UDP/syslog ou IPFIX sans préciser l'adresse IP du firewall devant être utilisée pour ces opérations, et en cas de forte activité d'envoi de logs, un problème d'accès concurrentiel pouvait entraîner une perte inopinée du réseau du firewall nécessitant un redémarrage de ce dernier. Ce problème a été corrigé.

Mise à jour du firewall via l'interface Web d'administration

Référence support 84962

Un problème lors de la mise à jour du firewall via l'interface Web administration pouvait entraîner un blocage inopiné de l'interface et empêcher la mise à jour du firewall. Ce problème a été corrigé.

Routage dynamique BIRD

Référence support 85221

Dans une configuration utilisant le protocole BGP avec authentification TCP-MD5, la directive "setkey no", devenue non fonctionnelle, est automatiquement remplacée par son équivalent "setkey yes" dans le fichier de configuration de bird/bird6 lors de la mise à jour du firewall en version SNS 4.6.7 ou supérieure.

Moteur de prévention d'intrusion

Haute disponibilité - Protocole SCTP

Référence support 85118

Les associations SCTP sont désormais correctement synchronisées lorsque le flux SCTP correspondant emprunte une règle de filtrage dont la destination est une adresse IP.

Nettoyage des tables du moteur de prévention d'intrusion

Des optimisations ont été réalisées afin de diminuer le temps nécessaire au nettoyage de certaines tables du moteur de prévention d'intrusion et éviter le risque de rejets de paquets durant cette opération. Ce problème était apparu en version SNS 4.5.0.

Filtrage et NAT

Références support 84667 - 84955 - 84957 - 85004 - 85061 - 85072 - 85131 - 85132 - 85133 - 85142 - 85157 - 85173

Le rechargement de la politique de filtrage suite à la modification d'une de ses règles impliquant de la translation d'adresses ne provoque plus de blocage intempestif du firewall.

Filtrage et NAT - Services Web

Référence support 84722

L'action bloquer fonctionne désormais dans une règle de filtrage utilisant un service Web dont le nom comporte exactement 20 caractères.

Interface Web d'administration

Filtrage URL / Filtrage SSL / Filtrage SMTP

Référence support 85164

Dans les modules de Filtrage URL, Filtrage SSL ou Filtrage SMTP, la suppression de la première règle de filtrage ne provoque plus une désynchronisation des identifiants des autres règles de la politique.

Interfaces VLAN

Référence support 85226

La tentative de suppression d'un VLAN lorsque le routage dynamique Bird est activé fait de nouveau apparaître la fenêtre indiquant que cette opération n'est pas autorisée et que le routage dynamique doit être désactivé au préalable. Cette régression était apparue en version SNS 4.0.1.