Correctifs de SNS 4.7.5
Système
VPN SSL
Référence support 85485
Pour une connexion VPN SSL avec authentification par certificat, la présence de balises HTML ou de caractères de type guillemets (") dans le nom d'utilisateur est désormais correctement traitée.
Référence support 85485
La supervision des tunnels VPN SSL n'affiche plus les lignes des utilisateurs "UNDEF" correspondant à des tentatives de connexion. Désormais, seules les connexions établies s'affichent dans la supervision.
EVA sur Microsoft Azure
Référence support 85325
Le mécanisme de vérification d'intégrité des fichiers a été adapté afin de ne plus déclencher à tort des alertes pour les EVA déployés sur la plate-forme Microsoft Azure. Ces alertes, qui concernaient notamment le chargeur de démarrage de la machine ou des bibliothèques spécifiques à cette plate-forme, perturbaient le bon fonctionnement du pilotage et des sauvegarde des machines virtuelles par Microsoft Azure.
Accès disque
Références support 84495 - 84933 - 85038 - 85081 - 85213 - 84626 - 85197
Des améliorations ont été apportées afin de limiter le nombre d'accès disque. Ces accès disque trop nombreux pouvaient, dans certains cas, entraîner un redémarrage inopiné d'un firewall modèle SN160(W), SN210(W) et SN310.
Haute disponibilité - Associations SCTP
Référence support 82047
Une absence de synchronisation des associations SCTP lors du rechargement de la politique de filtrage sur le firewall actif pouvait aboutir à une incohérence au sein du cluster : une connexion SCTP supprimée sur le firewall actif lors du rechargement du filtrage était toujours considérée comme active sur le firewall passif. Ce problème a été corrigé.
Vérification des certificats
Référence support 85206
Le mécanisme de récupération et de vérification des certificats de serveurs TLS prend désormais en compte les CA de confiance ajoutées par l'administrateur : celles-ci sont en effet stockées dans un répertoire différent de celui utilisé pour le stockage des CA téléchargées.
Filtrage URL / SSL - Extended Web Control (EWC) - Catégorie Divers
Les URL reconnues par le fournisseur de classification d'URL de la solution EWC et qui n'appartiennent à aucune catégorie prédéfinie sont désormais classifiées dans la catégorie Divers et non plus dans la catégorie Inconnu.
Filtrage URL / SSL - Extended Web Control (EWC) - Messages d'avertissement
Des améliorations ont été apportées dans le cas où une catégorie d'URL inconnue est utilisée dans la configuration du firewall SNS après la migration d'une politique de sécurité vers la nouvelle base d'URL EWC :
- Les messages d'avertissement ne s'affichent plus dans le menu de gauche devant les noms de modules Filtrage et NAT, Filtrage URL et Filtrage SSL lorsque les catégories inconnues se trouvent dans une règle désactivée ou dans une politique inactive,
- Le retour de la commande CLI / Serverd MONITOR MISC indique désormais dans les avertissements les catégories inconnues et la politique concernée.
Agent SNMP
Référence support 83679
Une erreur a été corrigée dans la valeur retournée par l'OID 1.3.6.1.2.1.1.7. Cette valeur est désormais 76, ce qui correspond à un équipement offrant des services sur les couches OSI 3, 4 et 7. Auparavant, la valeur retournée était 72.
GRETAP
Référence support 85417
Une anomalie de formatage des paquets GRETAP sortants (quelques octets excédentaires en début de paquet) a été corrigée. Cette anomalie, apparue en versions 4.3.16 LTSB et 4.6.1, rendait les captures réseau GRETAP plus difficiles à analyser mais n'impactait aucunement le bon fonctionnement des communications GRETAP.
Certificats et PKI - TPM
Référence support 85431
Lors du renouvellement via EST ou SCEP d'un certificat initialement protégé par le TPM, la protection par le TPM n'était pas conservée. Elle est désormais appliquée automatiquement suite à l'opération de renouvellement.
Authentification - TS Agent
Référence support 85403
Un utilisateur déjà authentifié via la méthode TS Agent ne parvenait pas à se connecter sur l'interface Web d'administration du firewall. Ce problème a été corrigé.
Moteur de prévention d'intrusion
Connexions TCP - Proxy
Références support 84867 - 85385
A la fin d'un échange de paquets TCP, si le serveur ou le client ignore la fermeture de connexion envoyée par le correspondant, le moteur de prévention d'intrusion du firewall ne continue plus d'envoyer à tort et en boucle des paquets de type ACK ou FIN / ACK.
Protocole SMTP
Référence support 84220
Une connexion SMTP initiée par un client qui envoyait une commande STARTTLS avant la commande EHLO n'est désormais plus bloquée à tort en générant l'alarme "Protocole SMTP invalide".
Protocole SMTP - Support UTF-8
Référence support 83791
Le moteur d'analyse protocolaire SMTP ne bloque plus à tort les caractères UTF-8 dans le trafic SMTP lorsque le serveur a précisé leur légitimité via l'option SMTPUTF8.
Gestion des vulnérabilités
Référence support 85526
La taille du cache contenant les vulnérabilités détectées sur les machines clientes du firewall a été augmentée afin d'éviter une consommation CPU excessive de la part du moteur de prévention d'intrusion lorsque ce cache était rempli. La taille de ce cache est ainsi passée de 128 à 2048 entrées possibles.
Services Web
Référence support 85539
Lorsqu'un service Web dont le nom dépasse 19 caractères est utilisé dans une règle de filtrage, la politique de filtrage n'est pas appliquée et un avertissement dans le tableau de bord invite l'administrateur à corriger le nom du service concerné.
Interface Web d'administration
Filtrage - Règle d'authentification - Objets Web
Référence support 85447
Lorsqu'une règle d'authentification est définie dans la politique de filtrage, il n'est plus possible de créer ou modifier un objet Web directement depuis cette règle. Cette action provoquait une instabilité de l'interface Web d'administration.
Certificats et PKI
Référence support 85388
La vérification de l'utilisation d'une Autorité de Certification (CA) dont le nom contient une apostrophe est désormais fonctionnelle.
VPN IPsec
Référence support 85442
Suite à l'import d'une CA et de plusieurs identités signées par cette CA, seul le certificat de la première identité importée pouvait être utilisé pour la création d'un correspondant IPsec. La sélection d'un autre certificat importé échouait. Ce problème a été corrigé.
Objet machine avec résolution DNS automatique
Référence support 85515
Le caractère "/" n'est plus autorisé à la fin du nom d'un objet machine configuré en résolution DNS automatique.
Authentification - TOTP
Référence support 85473
La modification du Nombre de codes valides avant et après le code actuel n'affiche plus à tort la fenêtre indiquant que la base TOTP doit être réinitialisée et que la procédure d’enrôlement TOTP est à recommencer pour tous les utilisateurs.