Correctifs de SNS 4.8.9
Système
Proxy
Auparavant, l'analyse sandboxing (Breach Fighter) de fichiers avec un nom long pouvait entraîner des arrêts inopinés du proxy. Ce problème a été corrigé. Cette régression était apparue en version SNS 4.8.3.
Référence support 84388
La gestion des connexions du proxy a été améliorée. Désormais, le proxy utilise le pool de connexions propre au protocole avant d'utiliser le pool de connexions commun, ce qui évite d'avoir des erreurs indiquant qu'il y a trop de connexions alors que le nombre limite de connexions n'est pas atteint.
VPN IPsec
Référence support 85641
Lors de la renégociation d'une association de sécurité IKE, les informations d'authentification sont désormais transférées sur la nouvelle association de sécurité et le moteur de prévention d'intrusion ne coupe plus la connexion.
Référence support 84803
Les tunnels VPN sont de nouveau négociés quand le certificat du correspondant est modifié. Cette régression était apparue en version SNS 4.8.0.
VPN SSL
Référence support 84495 / 84933 / 85038 / 85081 / 85213
Des modifications ont été apportées au chargement de la configuration du VPN SSL afin de réduire le nombre d'accès disque.
Certificats et PKI
Référence support 85968
Auparavant, lorsqu'une sous-autorité de certification et son autorité parente avaient toutes deux des CRLDP, seule la CRL de l'autorité parente était téléchargée. Ce problème est maintenant corrigé et le firewall télécharge bien les deux CRL.
Référence support 85948
La commande CLI / Serverd PKI SCEP QUERY prend désormais correctement en compte les arguments bindaddr et bindport permettant de préciser respectivement une adresse IP locale et un port local spécifiques pour les requêtes SCEP.
Plus d'informations concernant la commande PKI SCEP QUERY.
Haute Disponibilité
Référence support 85747
Désormais, rattacher un cluster à SMC version 3.2.3 et supérieure ou forcer la récupération des informations d'un firewall du cluster ne provoque plus de logs d'erreur.
MIB STORMSHIELD-HA-MIB
Désormais, vous recevez une réponse lorsque vous interrogez la MIB STORMSHIELD-HA-MIB sur les tables :
-
snsNodePowerSupplyTable,
-
snsNodeDiskTable,
-
snsNodeCpuTable,
-
snsNodeFanTable.
TPM
Dans le cas d'un firewall administré par SMC, la mise à jour vers une version SNS 4.8.9 ou supérieure est bloquée si les conditions suivantes sont réunies :
-
La clé privée du certificat utilisé pour les communications avec le serveur SMC est protégée par le TPM,
-
Le firewall est en version SNS 4.8.2 ou inférieur.
Cela évite de perdre la connexion entre SMC et le firewall.
TPM - VPN IPsec/VPN SSL
Référence support 86126
Il n'est désormais plus nécessaire de resceller le module TPM lorsque les certificats utilisés pour les services VPN IPsec et VPN SSL sont protégés par le TPM. Ce comportement était apparu en version 4.8.7.
Cette situation provoquait à tort l'affichage du message d'erreur "Échec de l'accès à la clef symétrique" dans le tableau de bord.
Serveur LDAP
Référence support 86089
L'utilisation d'un objet machine global pour configurer un serveur LDAP telle qu'annoncée en version SNS 4.8.7 est désormais pleinement fonctionnelle.
Routage multicast
Référence support 85614
Auparavant, si dans une configuration en routage multicast, le câble réseau entre un firewall en position Last Hop Router (LHR) et un routeur utilisé en Rendez-vous Point (RP) était débranché ou que le routeur redémarrait, le flux était coupé. Ce problème a été résolu.
Extended Web Control (EWC)
Une nouvelle règle implicite a été ajoutée afin de garantir l'accès au serveur Extended Web Control (EWC) lorsque l'on force l'adresse source avec l'argument bindaddr d'une commande CLI / Serverd. L'ajout de cette règle implicite empêche désormais le flux de passer par le moteur de prévention d'intrusion. Cette nouvelle règle est visible dans le module Configuration > Politique de sécurité > Règles implicites.
Machines virtuelles
Configuration en haute disponibilité (HA) et Pay As You Go (PAYG)
Référence support 85730
Le mécanisme de gestion des licences au sein du cluster a été amélioré afin de permettre au firewall passif de récupérer sa licence par synchronisation avec le firewall actif lors de l'enrôlement Pay As You Go du cluster.
Moteur de prévention d'intrusion
Connexions TCP
Référence support 85712
Dans certaines connexions TCP empruntant le proxy, le moteur de prévention d'intrusion pouvait envoyer en boucle des paquets ACK, quelle que soit la réponse reçue. Désormais, une limite de 10 réémissions permet d'éviter cette boucle.
Protocole OPC UA
Le contrôle de NodeID par le moteur d'analyse protocolaire OPC UA a été modifié afin de se conformer aux spécifications du protocole et ne plus provoquer de blocage injustifié de paquets OPC UA valides.
NAT
Auparavant, lorsque des connexions filles échouaient, le moteur de prévention d'intrusion ne libérait pas correctement les ports utilisés par le NAT. Ce problème est corrigé. Cette régression était apparue en versions SNS 4.8.0.
Gestion des utilisateurs
Référence support 85999
Auparavant, lors du vidage des connexions, une recherche était effectuée afin de relier les IP sources des connexions à des utilisateurs éventuels. La recherche d'utilisateur est désormais effectuée à la création de la connexion afin d'éviter des temps de latence. Cette régression était apparue en version SNS 3.4.0.
BIRD
Référence support 86033
Il est de nouveau possible d'utiliser des CIDR à la place des noms d'interface dans la configuration de BIRD. Cette régression était apparue en 4.8.1
Référence support 84495 / 84933 / 85038 / 85081 / 85213
Le mécanisme de mise à jour des adresses protégées a été optimisé afin de réduire le nombre d'accès disque.
Référence support 86007
Une limite de caractères de la mémoire tampon concernant le nom des interfaces pouvait empêcher de modifier la configuration de BIRD s'il y avait trop d'interfaces. Ce problème a été résolu.
Interface Web d'administration
TPM
Référence support 86093
Désormais, dans le module Configuration > Objets > Certificats et PKI, l'option d'initialisation du TPM ne s'affiche plus lors d'un clic droit sur un certificat si votre firewall ne dispose pas du module TPM.