Correctifs de SNS 4.8.4

Système

Proxies

Références support 85568 - 85625 - 85701

Des problèmes dans le proxy SSL pouvant entraîner un blocage inopiné des flux empruntant le proxy ont été résolus.

Proxy POP3 - Antispam et/ou antivirus

Référence support 81432

Lors de l'analyse antivirus et/ou antispam, le proxy POP3 pouvait détecter à tort du traitement par lots d'e-mails (pipelining) et fractionner un message de manière inappropriée. Ce comportement a été corrigé.

VPN IPsec

Référence support 85786

Lorsque la configuration IPsec d'un firewall en version inférieure à SNS 4.8 utilise un profil de phase 2 avec le champ PFS positionné sur Aucun, la mise à jour de ce firewall en version SNS 4.8 ne supprime plus à tort le jeton correspondant dans le fichier de configuration IPsec. Cette anomalie empêchait l'établissement des tunnels IPsec utilisant ce profil de phase 2.

La phase 1 d'un tunnel IPsec est désormais automatiquement supprimée lorsque la phase 2 unique associée est supprimée pour cause d'inactivité.

Référence support 85721

Suite au déploiement via SMC d'une configuration IPsec :

  • Qui utilise des interfaces virtuelles (VTI),
  • Dont le correspondant est défini en mode Ne pas initier le tunnel (ResponderOnly).

La tentative d'établissement du tunnel ne provoque plus un blocage inopiné du firewall.

Référence support 85676

La stabilité des configurations en haute disponibilité soumises à une forte charge a été améliorée. Cela évite les arrêts inopinés du moteur de gestion des tunnels IPsec.

VPN SSL

Il est de nouveau possible pour les utilisateurs d'établir leur tunnel VPN en s'authentifiant avec des services externes (mode Push). Cette régression était apparue en version SNS 4.8.3.

Autorité de certification importée

Référence support 85740

Il est désormais possible de supprimer la CRL d'une autorité de certification importée.

Importation des certificats

Référence support 85731

Les certificats .cert et .crt sont désormais identifiés comme des certificats PEM lors de l'importation. Auparavant, ils étaient considérés comme des certificats P12, ce qui provoquait une erreur.

Firewalls modèles SN160(W) / SN210(W) / SN310

Référence support 84495 - 84933 - 85038 - 85081 - 85213

Des modifications ont été apportées afin de réduire le nombre d'accès disques au fichier de configuration ConfigFiles/Openvpn/openvpn. Ceci pouvait entraîner des redémarrages inopinés des firewalls modèles SN160(W) / SN210(W) / SN310.

Haute disponibilité (HA) - CRL

Référence support 85558

Les CRL issues de CA globales sont désormais synchronisées toutes les 60 minutes entre le firewall actif et le firewall passif.

Référence support 85553

Les CRL récupérées par le firewall actif sont désormais immédiatement synchronisées avec le firewall passif. Cette synchronisation n'était réalisée auparavant que toutes les 60 minutes. En cas de bascule au sein du cluster pendant ce laps de temps, le nouveau firewall actif pouvait ainsi ne pas connaître l'ensemble des CRL et empêcher l'établissement de tunnels IPsec par exemple.

Logs - Journaux d'audit

Référence support 85563

Un redémarrage du firewall dans les cinq minutes suivant la création d'un filtre dans le module Logs - Journaux d'audit > Tous les journaux ne supprime plus le filtre.

Routage dynamique Bird

Référence support 85756

À présent, le moteur de routage dynamique BIRD ne redémarre plus en boucle lorsqu'il est en mode verbeux. Cette régression était apparue en version SNS 4.8.0.

Référence support 85271

Lorsque le protocole OSPF est utilisé pour le routage dynamique, la taille du tampon de la socket a été augmentée afin qu'il n'y ait plus de perte de paquets.

Référence support 85755

Il n'est désormais plus possible de démarrer BIRD v1 et BIRD v2 en parallèle.

Interface virtuelle

Référence support 85669

Dans le cas d'un tunnel GRE, si la taille d'un paquet dépassait la MTU, le paquet de réponse ICMP n'indiquait pas la bonne valeur de MTU. Ce problème a été corrigé.

Partition de sauvegarde

Référence support 85527

Dans le cas d'un firewall :

  • en version SNS 4.8,

  • Avec une partition de secours en version SNS 4.3.23 LTSB ou inférieure,

Des dysfonctionnements peuvent se produire en cas d'utilisation de la partition de secours. Il est à présent impossible de faire une mise à jour en version SNS 4.8 si la partition de secours n'est pas en version SNS 4.3.24 LTSB ou supérieure.

Filtrage et NAT

Référence support 68445 - 70036- 85660

La valeur de la colonne #set_tos de l'export CSV des règles de filtrage est désormais correcte et de nouvelles colonnes pour la QoS et synproxy on été ajoutées.

Interface Wi-Fi

Référence support 84615

Le gestionnaire de configuration réseau ne s'arrête plus inopinément au démarrage si le code pays de l'interface Wi-Fi est celui de la Jamaïque.

Commandes CLI / Serverd

Référence support 85797

L'utilisation de la commande CLI / serverd SYSTEM UPDATE UPLOAD sans argument provoquait un arrêt inopiné de serverd et une déconnexion de la console. Ce problème a été résolu.

Moteur de prévention d'intrusion

Mémoire

Dans certains cas, le firewall rencontrait un blocage inopiné lors du traitement d'erreurs en cas de manque de mémoire. Ce problème a été résolu.

Interface Web d'administration

Applications et protections

Référence support 85779

Désormais, l'index d'un profil de protocole modifié depuis le module Applications et protections correspond de nouveau à l'index configuré dans les profils de sécurité. Cette régression était apparue en version SNS 4.8.0.

QoS

Référence support 85458

La liste des caractères interdits dans le nom des files QoS est maintenant conforme à la section Noms autorisés ou interdits du Manuel utilisateur SNS.