Correctifs de SNS 4.3.17 LTSB
Système
Agent SNMP
Références support 84911- 84990
Un problème de fuite mémoire a été résolu dans l'agent SNMP. Cette régression était apparue en version SNS 4.3.12.
Supervision
Références support 84989 - 85015 - 85043
Des fuites mémoires ont été corrigées dans le mécanisme de supervision des disques.
Haute disponibilité (HA)
Référence support 71538
Une anomalie dans le mécanisme de récupération des informations de HA peut empêcher l'affichage de ces informations dans l'interface Web d'administration du firewall (module Supervision > Système / Haute disponibilité). Des optimisations ont été apportées pour diminuer la fréquence d'apparition de cette anomalie.
Haute disponibilité (HA) - TPM
Références support 85030 - 85031
Le changement de mot de passe du TPM sur le membre actif du cluster est désormais immédiatement répercuté sur le membre passif afin d'éviter qu'une désynchronisation des mots de passe des TPM n'empêche le membre passif d'accéder aux clés des certificats protégés par son TPM.
Haute disponibilité (HA) - Logs
Référence support 84458
Dans le cas où un lien HA subissait beaucoup de pertes de paquets, le message "HA link is down" était indiqué à tort dans les logs bien que le lien soit toujours fonctionnel. Dans ce type de circonstances, le message indiqué dans les logs est désormais "HA link is faulty".
Haute disponibilité (HA) - VLAN
Référence support 84710
Une configuration telle que le seul lien HA actif passe par une interface VLAN entraînait un indisponibilité du cluster. Cette régression, apparue en version SNS 4.3.3, a été corrigée.
VPN IPsec
Référence support 84677
Lors de la création d'un tunnel IPsec, la sélection de l'objet All pour les réseaux distants n'inclut plus à tort d'adresses IPv6 lorsque l'option IPv6 n'a pas été activée sur le firewall.
VPN IPsec IKEv2
Référence support 84920
Un certificat utilisateur ne possédant ni l'extension Extended Key Usage Client Auth, ni l'extension Extended Key Usage ServerAuth, n'était pas évalué par les règles de droits d'accès utilisateurs (module Configuration > Utilisateurs > Droits d'accès) : le tunnel IPsec défini pour ce correspondant s'établissait mais ce correspondant était bloqué par la politique de filtrage car considéré comme non légitime.
Ce problème a été corrigé par l'ajout d'un jeton de configuration UACForceCert : en lui affectant la valeur 1, ce jeton impose l'évaluation de ce type de certificat par les règles d'accès utilisateur.
Ce jeton est manipulable à l'aide de la commande CLI / Serverd CONFIG.IPSEC.UPDATE UACForceCert=<0|1>
Plus d'informations sur la commande CONFIG.IPSEC.UPDATE.
VPN IPsec au travers d'une passerelle par défaut de type dialup
Référence support 82369
Lorsque la passerelle par défaut est basée sur un modem PPPoE (connexion de type dialup), les tunnels IPsec établis au travers de cette passerelle par défaut remontent désormais correctement après une perte temporaire puis un rétablissement de la connexion dialup.
Supervision
Des problèmes de fuites mémoire ont été corrigés dans le moteur de gestion de la supervision.
VPN SSL
Référence support 84564
Lorsqu'un port d'écoute inférieur à 1024 était sélectionné pour le serveur VPN SSL, et notamment le port UDP/443, le serveur VPN SSL ne redémarrait plus et aucun message spécifique dans l'interface Web d'administration n'indiquait que ce port ne pouvait être utilisé.
Il est de nouveau possible de sélectionner le port UDP/443 pour le serveur VPN SSL.
Cette régression était apparue en version SNS 4.3.0.
Résolution DNS des objets dynamiques
Référence support 84889
Dans une configuration avec plusieurs serveurs DNS définis, un problème dans le mécanisme de résolution DNS des objets machine à résolution automatique / dynamique et des objets FQDN a été résolu lorsqu'un des serveurs DNS restait fonctionnel tandis que les autres étaient injoignables.
Réseau
Routage dynamique Bird
Références support 83650
Des optimisations ont été apportées pour améliorer la vitesse de transmission des routes du moteur de routage dynamique Bird au moteur de prévention d'intrusion afin d'éviter des problèmes de latence dans la transmission des paquets réseau.
Bridge avec deux agrégats de liens LACP
Référence support 84552
Lorsqu'un bridge comporte deux agrégats de liens LACP, ces deux agrégats portent désormais la même adresse MAC que le bridge. Ceci permet d'éviter, dans le cadre d'un cluster, que le membre passif du cluster n'envoie des paquets ARP gratuits avec une adresse MAC erronée.
Matériel
SN1100, SN2100, SN3100, SNi20, SNi40 et SNxr1200 - Microcode CPU
Le microcode des processeurs Intel équipant les firewalls modèles SN1100, SN2100, SN3100, SNi20, SNi40 et SNxr1200 a été mis à jour.
Moteur de prévention d'intrusion
Nettoyage des tables du moteur de prévention d'intrusion
Des optimisations ont été réalisées afin de diminuer le temps nécessaire au nettoyage de certaines tables du moteur de prévention d'intrusion et éviter le risque de rejets de paquets durant cette opération. Ce problème était apparu en version SNS 4.3.7.
Interface Web d'administration
Conversion en minuscules
Référence support 84964
Une anomalie dans la fonction de conversion en minuscules de certains champs de configuration pouvait entraîner un blocage de l'interface Web d'administration sur le module considéré. Cette anomalie a été corrigée.
Suppression d'une méthode d'authentification
Référence support 84411
La suppression d'une méthode d'authentification de la liste des méthodes disponibles entraîne désormais l'effacement complet des paramètres de configuration de cette méthode.
Logs
Référence support 84895
Un administrateur dont l'identifiant comporte le caractère "@" peut désormais créer un objet ou ajouter un objet à un groupe depuis la vue Logs - Journaux.
Agent SNMP
Référence support 84952
Les valeurs des champs Emplacement (sysLocation) et Contact (sysContact) de la Configuration des informations MIB-II n'étaient pas encadrées de guillemets lorsqu'elles comportaient un espace. Cette anomalie a été corrigée.
Interfaces VLAN
Référence support 83873
La suite d'actions :
- Créer et renommer un premier VLAN.
- Ne pas appliquer la modification de configuration.
- Créer et renommer un deuxième VLAN rattaché à la même interface physique.
Ne provoque plus à tort une erreur indiquant que les deux VLAN portent le même nom.
Antivirus - Tableau de bord
Suite à la migration en version 4.3.15 (ou supérieure) d'une configuration sans aucune règle de filtrage utilisant l'antivirus, l'icône de supervision de l'antivirus (module Monitoring > Tableau de bord) ne reste plus à tort affichée en orange avec le message "En cours de téléchargement".
Filtrage et NAT
Référence support 84980
Après avoir réalisé la recherche dans les logs d'une règle de filtrage (clic droit sur une règle et choix de l'action Chercher dans les logs dans le menu contextuel), la même opération sur une autre règle de filtrage ne garde plus à tort l'identifiant de la première règle comme critère de recherche.