Correctifs de SNS 4.8.9

Système

Proxy

Auparavant, l'analyse sandboxing (Breach Fighter) de fichiers avec un nom long pouvait entraîner des arrêts inopinés du proxy. Ce problème a été corrigé. Cette régression était apparue en version SNS 4.8.3.

Référence support 84388

La gestion des connexions du proxy a été améliorée. Désormais, le proxy utilise le pool de connexions propre au protocole avant d'utiliser le pool de connexions commun, ce qui évite d'avoir des erreurs indiquant qu'il y a trop de connexions alors que le nombre limite de connexions n'est pas atteint.

VPN IPsec

Référence support 85641

Lors de la renégociation d'une association de sécurité IKE, les informations d'authentification sont désormais transférées sur la nouvelle association de sécurité et le moteur de prévention d'intrusion ne coupe plus la connexion.

Référence support 84803

Les tunnels VPN sont de nouveau négociés quand le certificat du correspondant est modifié. Cette régression était apparue en version SNS 4.8.0.

VPN SSL

Référence support 84495 / 84933 / 85038 / 85081 / 85213

Des modifications ont été apportées au chargement de la configuration du VPN SSL afin de réduire le nombre d'accès disque.

Certificats et PKI

Référence support 85968

Auparavant, lorsqu'une sous-autorité de certification et son autorité parente avaient toutes deux des CRLDP, seule la CRL de l'autorité parente était téléchargée. Ce problème est maintenant corrigé et le firewall télécharge bien les deux CRL.

Référence support 85948

La commande CLI / Serverd PKI SCEP QUERY prend désormais correctement en compte les arguments bindaddr et bindport permettant de préciser respectivement une adresse IP locale et un port local spécifiques pour les requêtes SCEP.

Plus d'informations concernant la commande PKI SCEP QUERY.

Haute Disponibilité

Référence support 85747

Désormais, rattacher un cluster à SMC version 3.2.3 et supérieure ou forcer la récupération des informations d'un firewall du cluster ne provoque plus de logs d'erreur.

MIB STORMSHIELD-HA-MIB

Désormais, vous recevez une réponse lorsque vous interrogez la MIB STORMSHIELD-HA-MIB sur les tables :

  • snsNodePowerSupplyTable,

  • snsNodeDiskTable,

  • snsNodeCpuTable,

  • snsNodeFanTable.

TPM

Dans le cas d'un firewall administré par SMC, la mise à jour vers une version SNS 4.8.9 ou supérieure est bloquée si les conditions suivantes sont réunies :

  • La clé privée du certificat utilisé pour les communications avec le serveur SMC est protégée par le TPM,

  • Le firewall est en version SNS 4.8.2 ou inférieur.

Cela évite de perdre la connexion entre SMC et le firewall.

TPM - VPN IPsec/VPN SSL

Référence support 86126

Il n'est désormais plus nécessaire de resceller le module TPM lorsque les certificats utilisés pour les services VPN IPsec et VPN SSL sont protégés par le TPM. Ce comportement était apparu en version 4.8.7.

Cette situation provoquait à tort l'affichage du message d'erreur "Échec de l'accès à la clef symétrique" dans le tableau de bord.

Serveur LDAP

Référence support 86089

L'utilisation d'un objet machine global pour configurer un serveur LDAP telle qu'annoncée en version SNS 4.8.7 est désormais pleinement fonctionnelle.

Routage multicast

Référence support 85614

Auparavant, si dans une configuration en routage multicast, le câble réseau entre un firewall en position Last Hop Router (LHR) et un routeur utilisé en Rendez-vous Point (RP) était débranché ou que le routeur redémarrait, le flux était coupé. Ce problème a été résolu.

Extended Web Control (EWC)

Une nouvelle règle implicite a été ajoutée afin de garantir l'accès au serveur Extended Web Control (EWC) lorsque l'on force l'adresse source avec l'argument bindaddr d'une commande CLI / Serverd. L'ajout de cette règle implicite empêche désormais le flux de passer par le moteur de prévention d'intrusion. Cette nouvelle règle est visible dans le module Configuration > Politique de sécurité > Règles implicites.

Machines virtuelles

Configuration en haute disponibilité (HA) et Pay As You Go (PAYG)

Référence support 85730

Le mécanisme de gestion des licences au sein du cluster a été amélioré afin de permettre au firewall passif de récupérer sa licence par synchronisation avec le firewall actif lors de l'enrôlement Pay As You Go du cluster.

Moteur de prévention d'intrusion

Connexions TCP

Référence support 85712

Dans certaines connexions TCP empruntant le proxy, le moteur de prévention d'intrusion pouvait envoyer en boucle des paquets ACK, quelle que soit la réponse reçue. Désormais, une limite de 10 réémissions permet d'éviter cette boucle.

Protocole OPC UA

Le contrôle de NodeID par le moteur d'analyse protocolaire OPC UA a été modifié afin de se conformer aux spécifications du protocole et ne plus provoquer de blocage injustifié de paquets OPC UA valides.

NAT

Auparavant, lorsque des connexions filles échouaient, le moteur de prévention d'intrusion ne libérait pas correctement les ports utilisés par le NAT. Ce problème est corrigé. Cette régression était apparue en versions SNS 4.8.0.

Gestion des utilisateurs

Référence support 85999

Auparavant, lors du vidage des connexions, une recherche était effectuée afin de relier les IP sources des connexions à des utilisateurs éventuels. La recherche d'utilisateur est désormais effectuée à la création de la connexion afin d'éviter des temps de latence. Cette régression était apparue en version SNS 3.4.0.

BIRD

Référence support 86033

Il est de nouveau possible d'utiliser des CIDR à la place des noms d'interface dans la configuration de BIRD. Cette régression était apparue en 4.8.1

Référence support 84495 / 84933 / 85038 / 85081 / 85213

Le mécanisme de mise à jour des adresses protégées a été optimisé afin de réduire le nombre d'accès disque.

Référence support 86007

Une limite de caractères de la mémoire tampon concernant le nom des interfaces pouvait empêcher de modifier la configuration de BIRD s'il y avait trop d'interfaces. Ce problème a été résolu.

Interface Web d'administration

TPM

Référence support 86093

Désormais, dans le module Configuration > Objets > Certificats et PKI, l'option d'initialisation du TPM ne s'affiche plus lors d'un clic droit sur un certificat si votre firewall ne dispose pas du module TPM.