Correctifs de SNS 4.7.5

Système

VPN SSL

Référence support 85485

Pour une connexion VPN SSL avec authentification par certificat, la présence de balises HTML ou de caractères de type guillemets (") dans le nom d'utilisateur est désormais correctement traitée.

Référence support 85485

La supervision des tunnels VPN SSL n'affiche plus les lignes des utilisateurs "UNDEF" correspondant à des tentatives de connexion. Désormais, seules les connexions établies s'affichent dans la supervision.

EVA sur Microsoft Azure

Référence support 85325

Le mécanisme de vérification d'intégrité des fichiers a été adapté afin de ne plus déclencher à tort des alertes pour les EVA déployés sur la plate-forme Microsoft Azure. Ces alertes, qui concernaient notamment le chargeur de démarrage de la machine ou des bibliothèques spécifiques à cette plate-forme, perturbaient le bon fonctionnement du pilotage et des sauvegarde des machines virtuelles par Microsoft Azure.

Accès disque

Références support 84495 - 84933 - 85038 - 85081 - 85213 - 84626 - 85197

Des améliorations ont été apportées afin de limiter le nombre d'accès disque. Ces accès disque trop nombreux pouvaient, dans certains cas, entraîner un redémarrage inopiné d'un firewall modèle SN160(W), SN210(W) et SN310.

Haute disponibilité - Associations SCTP

Référence support 82047

Une absence de synchronisation des associations SCTP lors du rechargement de la politique de filtrage sur le firewall actif pouvait aboutir à une incohérence au sein du cluster : une connexion SCTP supprimée sur le firewall actif lors du rechargement du filtrage était toujours considérée comme active sur le firewall passif. Ce problème a été corrigé.

Vérification des certificats

Référence support 85206

Le mécanisme de récupération et de vérification des certificats de serveurs TLS prend désormais en compte les CA de confiance ajoutées par l'administrateur : celles-ci sont en effet stockées dans un répertoire différent de celui utilisé pour le stockage des CA téléchargées.

Filtrage URL / SSL - Extended Web Control (EWC) - Catégorie Divers

Les URL reconnues par le fournisseur de classification d'URL de la solution EWC et qui n'appartiennent à aucune catégorie prédéfinie sont désormais classifiées dans la catégorie Divers et non plus dans la catégorie Inconnu.

Filtrage URL / SSL - Extended Web Control (EWC) - Messages d'avertissement

Des améliorations ont été apportées dans le cas où une catégorie d'URL inconnue est utilisée dans la configuration du firewall SNS après la migration d'une politique de sécurité vers la nouvelle base d'URL EWC :

  • Les messages d'avertissement ne s'affichent plus dans le menu de gauche devant les noms de modules Filtrage et NAT, Filtrage URL et Filtrage SSL lorsque les catégories inconnues se trouvent dans une règle désactivée ou dans une politique inactive,
  • Le retour de la commande CLI / Serverd MONITOR MISC indique désormais dans les avertissements les catégories inconnues et la politique concernée.

Agent SNMP

Référence support 83679

Une erreur a été corrigée dans la valeur retournée par l'OID 1.3.6.1.2.1.1.7. Cette valeur est désormais 76, ce qui correspond à un équipement offrant des services sur les couches OSI 3, 4 et 7. Auparavant, la valeur retournée était 72.

GRETAP

Référence support 85417

Une anomalie de formatage des paquets GRETAP sortants (quelques octets excédentaires en début de paquet) a été corrigée. Cette anomalie, apparue en versions 4.3.16 LTSB et 4.6.1, rendait les captures réseau GRETAP plus difficiles à analyser mais n'impactait aucunement le bon fonctionnement des communications GRETAP.

Certificats et PKI - TPM

Référence support 85431

Lors du renouvellement via EST ou SCEP d'un certificat initialement protégé par le TPM, la protection par le TPM n'était pas conservée. Elle est désormais appliquée automatiquement suite à l'opération de renouvellement.

Authentification - TS Agent

Référence support 85403

Un utilisateur déjà authentifié via la méthode TS Agent ne parvenait pas à se connecter sur l'interface Web d'administration du firewall. Ce problème a été corrigé.

Moteur de prévention d'intrusion

Connexions TCP - Proxy

Références support 84867 - 85385

A la fin d'un échange de paquets TCP, si le serveur ou le client ignore la fermeture de connexion envoyée par le correspondant, le moteur de prévention d'intrusion du firewall ne continue plus d'envoyer à tort et en boucle des paquets de type ACK ou FIN / ACK.

Protocole SMTP

Référence support 84220

Une connexion SMTP initiée par un client qui envoyait une commande STARTTLS avant la commande EHLO n'est désormais plus bloquée à tort en générant l'alarme "Protocole SMTP invalide".

Protocole SMTP - Support UTF-8

Référence support 83791

Le moteur d'analyse protocolaire SMTP ne bloque plus à tort les caractères UTF-8 dans le trafic SMTP lorsque le serveur a précisé leur légitimité via l'option SMTPUTF8.

Gestion des vulnérabilités

Référence support 85526

La taille du cache contenant les vulnérabilités détectées sur les machines clientes du firewall a été augmentée afin d'éviter une consommation CPU excessive de la part du moteur de prévention d'intrusion lorsque ce cache était rempli. La taille de ce cache est ainsi passée de 128 à 2048 entrées possibles.

Services Web

Référence support 85539

Lorsqu'un service Web dont le nom dépasse 19 caractères est utilisé dans une règle de filtrage, la politique de filtrage n'est pas appliquée et un avertissement dans le tableau de bord invite l'administrateur à corriger le nom du service concerné.

Interface Web d'administration

Filtrage - Règle d'authentification - Objets Web

Référence support 85447

Lorsqu'une règle d'authentification est définie dans la politique de filtrage, il n'est plus possible de créer ou modifier un objet Web directement depuis cette règle. Cette action provoquait une instabilité de l'interface Web d'administration.

Certificats et PKI

Référence support 85388

La vérification de l'utilisation d'une Autorité de Certification (CA) dont le nom contient une apostrophe est désormais fonctionnelle.

VPN IPsec

Référence support 85442

Suite à l'import d'une CA et de plusieurs identités signées par cette CA, seul le certificat de la première identité importée pouvait être utilisé pour la création d'un correspondant IPsec. La sélection d'un autre certificat importé échouait. Ce problème a été corrigé.

Objet machine avec résolution DNS automatique

Référence support 85515

Le caractère "/" n'est plus autorisé à la fin du nom d'un objet machine configuré en résolution DNS automatique.

Authentification - TOTP

Référence support 85473

La modification du Nombre de codes valides avant et après le code actuel n'affiche plus à tort la fenêtre indiquant que la base TOTP doit être réinitialisée et que la procédure d’enrôlement TOTP est à recommencer pour tous les utilisateurs.