Correctifs de SNS 4.3.17 LTSB

Système

Agent SNMP

Références support 84911- 84990

Un problème de fuite mémoire a été résolu dans l'agent SNMP. Cette régression était apparue en version SNS 4.3.12.

Supervision

Références support 84989 - 85015 - 85043

Des fuites mémoires ont été corrigées dans le mécanisme de supervision des disques.

Haute disponibilité (HA)

Référence support 71538

Une anomalie dans le mécanisme de récupération des informations de HA peut empêcher l'affichage de ces informations dans l'interface Web d'administration du firewall (module Supervision > Système / Haute disponibilité). Des optimisations ont été apportées pour diminuer la fréquence d'apparition de cette anomalie.

Haute disponibilité (HA) - TPM

Références support 85030 - 85031

Le changement de mot de passe du TPM sur le membre actif du cluster est désormais immédiatement répercuté sur le membre passif afin d'éviter qu'une désynchronisation des mots de passe des TPM n'empêche le membre passif d'accéder aux clés des certificats protégés par son TPM.

Haute disponibilité (HA) - Logs

Référence support 84458

Dans le cas où un lien HA subissait beaucoup de pertes de paquets, le message "HA link is down" était indiqué à tort dans les logs bien que le lien soit toujours fonctionnel. Dans ce type de circonstances, le message indiqué dans les logs est désormais "HA link is faulty".

Haute disponibilité (HA) - VLAN

Référence support 84710

Une configuration telle que le seul lien HA actif passe par une interface VLAN entraînait un indisponibilité du cluster. Cette régression, apparue en version SNS 4.3.3, a été corrigée.

VPN IPsec

Référence support 84677

Lors de la création d'un tunnel IPsec, la sélection de l'objet All pour les réseaux distants n'inclut plus à tort d'adresses IPv6 lorsque l'option IPv6 n'a pas été activée sur le firewall.

VPN IPsec IKEv2

Référence support 84920

Un certificat utilisateur ne possédant ni l'extension Extended Key Usage Client Auth, ni l'extension Extended Key Usage ServerAuth, n'était pas évalué par les règles de droits d'accès utilisateurs (module Configuration > Utilisateurs > Droits d'accès) : le tunnel IPsec défini pour ce correspondant s'établissait mais ce correspondant était bloqué par la politique de filtrage car considéré comme non légitime.
Ce problème a été corrigé par l'ajout d'un jeton de configuration UACForceCert : en lui affectant la valeur 1, ce jeton impose l'évaluation de ce type de certificat par les règles d'accès utilisateur.
Ce jeton est manipulable à l'aide de la commande CLI / Serverd CONFIG.IPSEC.UPDATE UACForceCert=<0|1>

Plus d'informations sur la commande CONFIG.IPSEC.UPDATE.

VPN IPsec au travers d'une passerelle par défaut de type dialup

Référence support 82369

Lorsque la passerelle par défaut est basée sur un modem PPPoE (connexion de type dialup), les tunnels IPsec établis au travers de cette passerelle par défaut remontent désormais correctement après une perte temporaire puis un rétablissement de la connexion dialup.

Supervision

Des problèmes de fuites mémoire ont été corrigés dans le moteur de gestion de la supervision.

VPN SSL

Référence support 84564

Lorsqu'un port d'écoute inférieur à 1024 était sélectionné pour le serveur VPN SSL, et notamment le port UDP/443, le serveur VPN SSL ne redémarrait plus et aucun message spécifique dans l'interface Web d'administration n'indiquait que ce port ne pouvait être utilisé.
Il est de nouveau possible de sélectionner le port UDP/443 pour le serveur VPN SSL.

Cette régression était apparue en version SNS 4.3.0.

Résolution DNS des objets dynamiques

Référence support 84889

Dans une configuration avec plusieurs serveurs DNS définis, un problème dans le mécanisme de résolution DNS des objets machine à résolution automatique / dynamique et des objets FQDN a été résolu lorsqu'un des serveurs DNS restait fonctionnel tandis que les autres étaient injoignables.

Réseau

Routage dynamique Bird

Références support 83650

Des optimisations ont été apportées pour améliorer la vitesse de transmission des routes du moteur de routage dynamique Bird au moteur de prévention d'intrusion afin d'éviter des problèmes de latence dans la transmission des paquets réseau.

Bridge avec deux agrégats de liens LACP

Référence support 84552

Lorsqu'un bridge comporte deux agrégats de liens LACP, ces deux agrégats portent désormais la même adresse MAC que le bridge. Ceci permet d'éviter, dans le cadre d'un cluster, que le membre passif du cluster n'envoie des paquets ARP gratuits avec une adresse MAC erronée.

Matériel

SN1100, SN2100, SN3100, SNi20, SNi40 et SNxr1200 - Microcode CPU

Le microcode des processeurs Intel équipant les firewalls modèles SN1100, SN2100, SN3100, SNi20, SNi40 et SNxr1200 a été mis à jour.

Moteur de prévention d'intrusion

Nettoyage des tables du moteur de prévention d'intrusion

Des optimisations ont été réalisées afin de diminuer le temps nécessaire au nettoyage de certaines tables du moteur de prévention d'intrusion et éviter le risque de rejets de paquets durant cette opération. Ce problème était apparu en version SNS 4.3.7.

Interface Web d'administration

Conversion en minuscules

Référence support 84964

Une anomalie dans la fonction de conversion en minuscules de certains champs de configuration pouvait entraîner un blocage de l'interface Web d'administration sur le module considéré. Cette anomalie a été corrigée.

Suppression d'une méthode d'authentification

Référence support 84411

La suppression d'une méthode d'authentification de la liste des méthodes disponibles entraîne désormais l'effacement complet des paramètres de configuration de cette méthode.

Logs

Référence support 84895

Un administrateur dont l'identifiant comporte le caractère "@" peut désormais créer un objet ou ajouter un objet à un groupe depuis la vue Logs - Journaux.

Agent SNMP

Référence support 84952

Les valeurs des champs Emplacement (sysLocation) et Contact (sysContact) de la Configuration des informations MIB-II n'étaient pas encadrées de guillemets lorsqu'elles comportaient un espace. Cette anomalie a été corrigée.

Interfaces VLAN

Référence support 83873

La suite d'actions :

  1. Créer et renommer un premier VLAN.
  2. Ne pas appliquer la modification de configuration.
  3. Créer et renommer un deuxième VLAN rattaché à la même interface physique.

Ne provoque plus à tort une erreur indiquant que les deux VLAN portent le même nom.

Antivirus - Tableau de bord

Suite à la migration en version 4.3.15 (ou supérieure) d'une configuration sans aucune règle de filtrage utilisant l'antivirus, l'icône de supervision de l'antivirus (module Monitoring > Tableau de bord) ne reste plus à tort affichée en orange avec le message "En cours de téléchargement".

Filtrage et NAT

Référence support 84980

Après avoir réalisé la recherche dans les logs d'une règle de filtrage (clic droit sur une règle et choix de l'action Chercher dans les logs dans le menu contextuel), la même opération sur une autre règle de filtrage ne garde plus à tort l'identifiant de la première règle comme critère de recherche.