Correctifs de SNS 4.7.3
Système
Proxies
Références support 85428 - 85495 - 85491
Des problèmes de blocages inopinés des proxies lors d'un rechargement de configuration ont été corrigés.
Captures réseau avec tcpdump sur interface usbus
Références support 85083 - 85313
Le lancement d'une capture réseau avec l'utilitaire tcpdump sur une interface de type usbus ne provoque plus un redémarrage inopiné du firewall.
Firewalls virtuels EVA
Référence support 85273
Sur un firewall virtuel EVA, la limitation du nombre de CPU associée à l'activation de l'hyperthreading ne provoque plus un redémarrage inopiné du firewall.
QoS
Référence support 85019
Un problème dans la gestion de la suppression d'une file d'attente de type CBQ utilisée en tant que File d'attente d'acquittement (ACK) au sein d'une règle de filtrage pouvait aboutir à un redémarrage inopiné du firewall. Ce problème a été corrigé.
Passage en version SNS inférieure
Référence support 85247
Lors du passage d'un firewall dans une version SNS inférieure sans remise en configuration d'usine (defaultconfig), une tentative d'affichage de la liste des alarmes disponibles n'entraîne plus des redémarrages inopinés du moteur de prévention d'intrusion et du serveur de configuration par commande (serverd).
NAT
Référence support 84819
Un problème a été corrigé dans le mécanisme de gestion du NAT. Ce problème pouvait remplir à tort la table des ports translatés utilisés pour des flux nécessitant des connexions filles (par exemple : FTP, RTSP...), empêchant alors la création d'une nouvelle connexion fille et provoquant l'interruption du trafic concerné.
Filtrage et NAT
Références support 85357 - 85376
Dans le cas d'une règle de filtrage faisant appel à un ensemble d'objets réseau dont un est lié à une interface configurée en DHCP et désactivée, le redémarrage du firewall ne provoque plus l'activation à tort de la règle de filtrage "(1) Block all". Cette régression était apparue en version SNS 4.7.0.
Référence support 85239
Dans une situation telle que :
- Le firewall dispose d'un bridge regroupant plusieurs interfaces. Sur ce bridge :
- Le trafic depuis une des interfaces du bridge vers une interface externe au bridge est autorisé par une règle de filtrage en mode Firewall,
- Le trafic depuis une autre interface du bridge vers la même interface externe au bridge est bloqué par une autre règle de filtrage.
- Une connexion est établie entre une machine cliente et le serveur via la première règle,
- Une machine infectée ou une sonde d'intrusion située sur la même interface que le serveur envoie un paquet de type reset portant les mêmes références que la connexion établie (adresses source / destination et ports source / destination).
Même si le paquet de la machine infectée ou de la sonde d'intrusion était correctement bloqué, l'interface source de la machine cliente était cependant modifiée à tort et sa connexion établie avec le serveur était interrompue. Ce problème a été corrigé.
Connexion à l'interface Web d'administration avec le compte admin
Références support 85266 - 85309 - 85349 - 85437 - 85494
Dans certaines circonstances, une tentative de connexion à l'interface Web d'administration avec le compte admin pouvait échouer et provoquer un redémarrage inopiné du serveur de configuration par commande (serverd). Ce problème a été corrigé.
Haute disponibilité (HA)
Références support 77890 - 83274
Sur un firewall en haute disponibilité ayant fait l'objet de plusieurs bascules de rôle au sein du cluster, certains paquets empruntaient une route de retour erronée tout en présentant l'adresse IP de la bonne route de retour. Ce problème, qui provoquait l'interruption du flux concerné, a été corrigé.
Haute disponibilité - Synchronisation des listes de certificats révoqués (CRL)
Les CRL récupérées sur le firewall actif sont de nouveau synchronisées avec le firewall passif. Cette régression était apparue en version SNS 4.7.2 et générait une alarme lorsqu'une CRL du firewall passif était expirée.
Alertes e-mail
Références support 84511 - 82823
Lorsque l'envoi d'un e-mail par le firewall était réalisé au travers d'une connexion chiffrée avec un serveur SMTP à l'aide du protocole TLS, le rechargement de la configuration du service d'envoi d'e-mail provoquait à tort un passage en mode non chiffré pouvant aboutir à un échec de connexion du firewall avec le serveur SMTP. Ce problème a été corrigé.
Fuites mémoire
Référence support 85363
Des problèmes de fuite mémoire ont été corrigés dans les moteurs de configuration du firewall et de gestion de son agent SNMP.
VPN IPsec
Des paquets chiffrés dans un premier tunnel IPsec n'étaient plus autorisés à emprunter ensuite un second tunnel établi au travers d'interfaces IPsec virtuelles. Cette régression, apparue en version SNS v4, a été corrigée.
Supervision IPsec
Référence support 85399
La supervision des SA (Associations de Sécurité) n'échoue plus lorsque le correspondant contient une plage d'adresses IP.
Annuaire LDAP interne
Référence support 84495
Des optimisations permettent d'éviter un rechargement systématique du moteur de gestion des annuaires LDAP pour la prise en compte de certaines modifications.
Interface en DHCP
Référence support 85305
La modification manuelle de la vitesse de média d'une interface configurée en DHCP ne lui fait plus perdre son adresse IP.
Routage dynamique BIRD - BGP et Authentification MD5
Référence support 85373
Dans une configuration de routage dynamique BIRD utilisant le protocole BGP avec de l'authentification MD5, l'absence d'adresse source pour cette configuration BGP provoque désormais l'affichage d'un message d'avertissement invitant l'administrateur à renseigner une adresse source dans la configuration de BIRD. Ceci permet d'éviter un dysfonctionnement de la session BGP concernée. Cette régression était apparue dans les versions SNS 4.6.9 et SNS 4.3.21 LTSB.
Port d'écoute de l'interface Web d'administration
Référence support 85450
Une tentative de modification du port d'écoute de l'interface Web d’administration (TCP/443 par défaut) ne provoque plus une erreur système dans le moteur de configuration du firewall et est désormais correctement prise en compte.
VPN IPsec - IKEv1 - Authentication par certificat et XAuth
Référence support 85283
Lors de l'établissement d'un tunnel IPsec IKEv1 avec authentification par certificat et XAuth, les groupes d'utilisateurs sont désormais correctement enregistrés dans les tables du moteur de prévention d'intrusion. L'utilisation de ces groupes au sein des règles de filtrage est donc de nouveau fonctionnelle. Cette régression était apparue en version SNS 4.2.
Chiffrement / PKI
Référence support 85476
La commande CLI / Serverd CONFIG FWADMIN PROTECT permettait à tort de déchiffrer toute clé privée protégée par le TPM sans exiger le mot de passe du TPM. Ce problème a été corrigé.
Service de gestion des logs - Syslog TCP
Références support 85297 - 85396
Le service de gestion des logs du firewall ne s'arrête plus de fonctionner lorsque sa configuration est modifiée et que la connexion utilisée entre le serveur Syslog TCP et le firewall n'est pas fiable ou instable.
Moteur de prévention d'intrusion
Analyse IPS - Alarmes
Référence support 85210
Des paquets provoquant l'une des alarmes intervenant avant le contrôle du filtrage traversaient néanmoins le firewall malgré la présence d'une règle de filtrage destinée à bloquer le trafic réseau correspondant. Ce problème a été corrigé.
Consultez la liste des alarmes intervenant avant le contrôle du filtrage dans la Base de Connaissances Stormshield (authentification nécessaire).
Protocole LDAP
Référence support 84561
Les paquets d'authentification GSSAPI sont désormais correctement pris en charge par le moteur d'analyse protocolaire LDAP et ne génèrent plus à tort une alarme de type "Mauvais protocole LDAP" (erreur ldap_tcp:427).
Interface Web d'administration
Serveur DHCP et manipulations de la partition de logs
Référence support 84501
L’activation du Serveur DHCP du firewall n'empêche plus les opérations de maintenance sur la partition de logs via l'interface Web d'administration (démontage / montage, formatage...).
VPN IPsec
Référence support 85423
Conformément à ce qui était annoncé dans les Notes de versions SNS 4.7.1, l'assistant de création d'une règle de VPN IPsec mobile en mode config permet désormais de sélectionner un groupe de réseaux comme ressources locales.
Assistant de création d'un cluster
Référence support 85405
La présence sur le firewall d'une interface incluse dans un bridge ou d'une interface sans adresse IP n'empêche plus le lancement de l'assistant de création d'un cluster.