Correctifs de SNS 4.7.2 EA

Système

VPN IPsec

Références support 84572 - 84708 - 85270 - 85272

La présence d'un caractère issu d'un encodage autre que l'ASCII dans le sujet du certificat d'une CA de confiance n'empêche plus l'établissement du tunnel IPsec basé sur cette CA.

VPN IPsec - Vérification de révocation des certificats des correspondants (CRL)

Référence support 82506

Le déploiement d'une topologie VPN depuis un serveur SMC dont le paramètre CRLRequired est activé n'écrase plus sur le firewall SNS la liste de révocation de certificats (CRL) de la CA.

Authentification SSH multi-utilisateur - Commande SCP

Référence support 84848

Les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" peuvent de nouveau exécuter la commande SCP en SSH. Le compte "admin" n'était pas concerné par ce problème.

Classification d'URL Extended Web Control (EWC) et filtrage SSL

Référence support 85374

Après plusieurs accès à une même URL interdite, la page de blocage affichée et le log relatif au protocole SSL indiquaient à tort la catégorie default au lieu de la catégorie d'appartenance de l'URL. Cette anomalie a été corrigée.

Firewalls industriels SNi40

Référence support 85078

Sur un firewall SNi40 avec le bypass configuré en mode Sûreté, le mode actif du bypass pouvait être affiché à tort comme étant le mode Sécurité. Ce problème a été corrigé.

Firewalls modèles SN-S-Series-320 et SN-M-Series-520

Le nombre maximal de connexions HTTP / FTP / SMTP / POP3 autorisées pour les firewalls modèles SN-S-Series-320 et SN-M-Series-520 était erroné et est corrigé lors de la mise à jour du firewall en version 4.7.2 ou supérieure.

Répartition de charge IPsec sur les CPU - Firewalls modèles SN510, SN2000, SN2100 et SN3100

Un problème d'accès concurrentiels dans le mécanisme de répartition de charge du chiffrement IPsec sur les CPU a été corrigé pour les firewalls modèles SN510, SN2000, SN2100 et SN3100. Pour rappel, la répartition de charge de chiffrement IPsec est configurable via la commande CLI / Serverd CONFIG IPSEC CRYPTOLB UPDATE.

Proxies

Références support 85041 - 85048 - 85260 - 85286 - 85314

Un blocage des proxies ne se produit plus lorsqu'une règle de déchiffrement SSL rencontre un certificat présentant les caractéristiques suivantes :

  • Certificat avec un champ Sujet vide,
  • Certificat signé par une autorité n'étant pas reconnue de confiance par le proxy (exemple : CA auto-signée).

Et que l'action d'analyse du protocole SSL Certificats inconnus est positionnée à Déléguer à l'utilisateur.

Référence support 85254

Des problèmes de fuites mémoire dans les proxies ont été corrigés.

Supervision des tunnels IPsec

Référence support 85318

Dans la supervision des tunnels IPsec, une anomalie faisant apparaître les tunnels établis avec un correspondant en mode Responder-only comme des politiques d'exception (bypass) a été corrigée.

VPN SSL

Référence support 84612

Des contrôles ont été ajoutés afin d'interdire une valeur d'argument ping supérieure à la moitié de celle de l'argument pingrestart pour la commande CLI / Serverd CONFIG OPENVPN UPDATE. Une telle configuration empêchait le client SSL VPN de ré-établir un tunnel suite à une déconnexion et nécessitait un redémarrage du service SSL VPN sur le poste client.

Plus d'informations sur la commande CONFIG OPENVPN UPDATE

Commandes CLI / SSH

Référence support 85110

L'aide retournée par la commande sfctl --help -F précise désormais bien l'existence du jeton assoc.

Service client NTP

Le service client NTP ne s'arrête désormais plus de fonctionner sur un firewall disposant de plus de 1024 interfaces.

SD-WAN

Des incohérences dans l'unité de mesure utilisée pour les calculs et pour l'affichage du taux d'indisponibilité des passerelles ont été corrigées.

Routage

Référence support 85320

La mise à jour en version 4.7.2 EA d'un firewall pour lequel la route par défaut était définie avec un objet de type loopback (exemple : l'objet localhost ayant pour adresse IP 127.0.0.1) entraîne le remplacement automatique de cet objet par l'objet blackhole. Ceci permet d'assurer la compatibilité du routage préalablement configuré.

Moteur de prévention d'intrusion

Requête ICMP

Références support 84197 - 85387

Dans le cas d'un firewall avec :

  • Un serveur derrière une interface protégée,

  • Deux accès Internet distincts.

Suite à une requête depuis un réseau non protégé vers le serveur, si le serveur n'écoutait pas sur le port demandé, les paquets ICMP type 3 qu'il renvoyait empruntaient toujours la route par défaut. Les paquets passent à présent par la route de retour configurée.

Protocole NTP

Référence support 85077

Une vérification du champ NTP reference_timestamp déclenchait à tort une alarme 451 dans le plugin NTP. Cette vérification étant superflue, elle a été supprimée.

Haute disponibilité

Référence support 84766

Lors d'une bascule au sein du cluster, une anomalie dans le traitement de certaines connexions TCP / UDP déjà établies pouvait entraîner une instabilité du cluster. Cette anomalie a été corrigée.

Interface Web d'administration

VPN IPsec

Référence support 85312

La présence d'un espace dans le nom d'une configuration VPN IPsec nomade empêche le rechargement de la politique IPsec et la rend non fonctionnelle. L'interface Web d'administration du firewall et la commande CLI / Serverd CONFIG IPSEC POLICY MOBILE UPDATE interdisent désormais la saisie de ce caractère dans le nom d'une politique IPsec nomade.

Référence support 85334

La suppression du nom d'une règle de VPN IPsec est désormais interdite. Une règle avec un nom vide bloque en effet le rechargement de la politique IPSec complète.

Filtrage SMTP

Référence support 85347

L'interface Web d'administration n'interdit plus à tort de définir plusieurs règles référençant le même expéditeur pour des destinataires différents. Cette régression était apparue en version 4.0.

Haute disponibilité - Supervision

Référence support 85398

L'affichage des versions de firmware installées sur les partitions principales et de secours du membre passif du cluster est désormais correct.