Correctifs de SNS 4.3.20 LTSB

Système

VPN IPsec

Références support 84983 - 85133 - 85253

Des optimisations ont été apportées au mécanisme de rechargement des règles de la politique VPN IPsec afin de limiter le risque d'arrêt inopiné du moteur de routage du firewall lorsque certaines configurations sont inchangées.

Références support 82578 - 84680

La gestion des ressources utilisées pour le VPN IPsec a été améliorée afin de réduire les entrées du type "job load of XXX exceeds limit of YY" dans les logs VPN IPsec.

Interfaces réseau

Référence support 85117

Les deux mécanismes alternatifs de renégociation des associations de sécurité IKE (mécanismes reauthentication et rekeying) ne sont plus lancés à tort l'un après l'autre. Cette régression, qui pouvait entraîner des pertes de paquets dans une configuration en mode Diffusion Restreinte (DR), était apparue en version SNS 4.2.0.

VPN SSL

Référence support 85229

Un utilisateur appartenant à un nombre important de groupes issus de l’annuaire LDAP parvient de nouveau à établir un tunnel VPN SSL. Cette régression était apparue en version SNS 4.3.18.

Référence support 84841

La modification de la configuration VPN SSL sur un firewall avec un tunnel VPN SSL déjà établi pouvait empêcher le moteur de gestion des tunnels de redémarrer. Ce problème, qui empêchait les tunnels VPN SSL de s'établir suite à la modification de la configuration, a été corrigé.

Filtrage et NAT

Référence support 84495

Le mécanisme de rechargement des règles de filtrage et NAT a été optimisé afin d'éviter des accès superflus à la configuration. Cela pouvant entraîner une corruption de la liste des politiques de filtrage et NAT.

Référence support 84734

La présence dans la politique de filtrage de deux règles bloquantes vers et depuis une adresse MAC, positionnées avant la règle autorisant le VPN SSL, n'entraîne plus à tort un blocage du trafic empruntant le tunnel VPN SSL.

Certificats et PKI

Références support 76892 - 85114

Lors de la création d'une demande de signature de certificat (CSR - Certificate Signing Request) à l'aide de la commande CLI / Serverd PKI REQUEST CREATE, si des Subject Alternative Name (SAN) ou des User Principal Name (UPN) sont précisés (adresses IP, FQDN...), ils sont désormais correctement pris en compte et apparaissent bien dans la CSR et le certificat signé.

Certificats et PKI - IPsec- Mode Diffusion Restreinte (DR)

Référence support 84942

Dans une configuration avec un chaîne de confiance du type : Autorité de Certification (certificat signé en RSA) -> Sous-Autorité de Certification (certificat signé en ECDSA ou ECSDSA sur courbe ECP 256 ou BP 256) servant d'ancre de confiance (TrustAnchor) -> Certificat (signé en ECDSA ou ECSDSA sur courbe ECP 256 ou BP 256), les tunnels IPsec en mode DR refusaient à tort de s'établir. Ce problème a été corrigé pour se conformer aux RFC de référence pour le mode Diffusion Restreinte.

Système - SNi20

Références support 84870 - 85037

Le mécanisme de surveillance de l'activité matérielle du firewall (watchdog) se déclenchait à tort avant le mécanisme de surveillance logicielle du système lorsque celui-ci était positionné sur sa valeur par défaut (120 secondes). Ce problème a été corrigé.

Supervision de la mémoire des firewalls SN310

Références support 85022 - 85155

Une anomalie dans la gestion des données de supervision de la mémoire pouvait provoquer à tort une alerte d’utilisation de la mémoire ainsi qu'un changement d'état de l'indicateur de santé correspondant dans le Tableau de bord des firewalls SN310. Cette anomalie a été corrigée.

Supervision des tunnels IPsec

Référence support 84776

Le rafraîchissement de l'écran de supervision des tunnels IPsec ne provoque plus l'erreur système Command processing failed.

Route par défaut - DHCP - IPv6

Référence support 85124

Dans une configuration telle que :

  • La passerelle par défaut du firewall est apprise via DHCP,
  • IPv6 est activé sur le firewall.

Toute modification (nom, protégée ou non ...) apportée à une interface ayant un adressage en DHCP n'entraîne plus la suppression de la route par défaut du firewall.

Traces - Syslog - IPFIX

Références support 84493 - 84876

Dans une configuration mettant en œuvre l'envoi de logs par UDP/syslog ou IPFIX sans préciser l'adresse IP du firewall devant être utilisée pour ces opérations, et en cas de forte activité d'envoi de logs, un problème d'accès concurrentiel pouvait entraîner une perte inopinée du réseau du firewall nécessitant un redémarrage de ce dernier. Ce problème a été corrigé.

Mise à jour du firewall via l'interface Web d'administration

Référence support 84962

Un problème lors de la mise à jour du firewall via l'interface Web administration pouvait entraîner un blocage inopiné de l'interface et empêcher la mise à jour du firewall. Ce problème a été corrigé.

Routage dynamique BIRD

Référence support 85249

Dans une configuration utilisant le protocole BGP avec authentification TCP-MD5, le rechargement de la configuration BGP n'empêche plus la renégociation des session BGP. Cette régression était apparue en version SNS 4.3.18.

Référence support 85221

Dans une configuration utilisant le protocole BGP avec authentification TCP-MD5, la directive "setkey no", devenue non fonctionnelle, est automatiquement remplacée par son équivalent "setkey yes" dans le fichier de configuration de bird/bird6 lors de la mise à jour du firewall en version SNS 4.3.20 ou supérieure. La présence de l'ancienne directive empêchait les sessions BGP authentifiées de s'établir après mise à jour du firewall. Cette régression était apparue en versions SNS 4.3.18.

Moteur de prévention d'intrusion

Haute disponibilité - Associations SCTP et connexions TCP/UDP

Référence support 84792

Dans une configuration en haute disponibilité, suite à une double bascule (Actif / Passif / Actif), les dates d'établissement des associations SCTP et des connexions TCP/UDP ne sont plus erronées.

Interface Web d'administration

Filtrage URL / Filtrage SSL / Filtrage SMTP

Référence support 85164

Dans les modules de Filtrage URL, Filtrage SSL ou Filtrage SMTP, la suppression de la première règle de filtrage ne provoque plus une désynchronisation des identifiants des autres règles de la politique.

Interfaces VLAN

Référence support 85226

La tentative de suppression d'un VLAN lorsque le routage dynamique Bird est activé fait de nouveau apparaître la fenêtre indiquant que cette opération n'est pas autorisée et que le routage dynamique doit être désactivé au préalable. Cette régression était apparue en version SNS 4.0.1.