Correctifs de SNS 4.3.20 LTSB
Système
VPN IPsec
Références support 84983 - 85133 - 85253
Des optimisations ont été apportées au mécanisme de rechargement des règles de la politique VPN IPsec afin de limiter le risque d'arrêt inopiné du moteur de routage du firewall lorsque certaines configurations sont inchangées.
Références support 82578 - 84680
La gestion des ressources utilisées pour le VPN IPsec a été améliorée afin de réduire les entrées du type "job load of XXX exceeds limit of YY" dans les logs VPN IPsec.
Interfaces réseau
Référence support 85117
Les deux mécanismes alternatifs de renégociation des associations de sécurité IKE (mécanismes reauthentication et rekeying) ne sont plus lancés à tort l'un après l'autre. Cette régression, qui pouvait entraîner des pertes de paquets dans une configuration en mode Diffusion Restreinte (DR), était apparue en version SNS 4.2.0.
VPN SSL
Référence support 85229
Un utilisateur appartenant à un nombre important de groupes issus de l’annuaire LDAP parvient de nouveau à établir un tunnel VPN SSL. Cette régression était apparue en version SNS 4.3.18.
Référence support 84841
La modification de la configuration VPN SSL sur un firewall avec un tunnel VPN SSL déjà établi pouvait empêcher le moteur de gestion des tunnels de redémarrer. Ce problème, qui empêchait les tunnels VPN SSL de s'établir suite à la modification de la configuration, a été corrigé.
Filtrage et NAT
Référence support 84495
Le mécanisme de rechargement des règles de filtrage et NAT a été optimisé afin d'éviter des accès superflus à la configuration. Cela pouvant entraîner une corruption de la liste des politiques de filtrage et NAT.
Référence support 84734
La présence dans la politique de filtrage de deux règles bloquantes vers et depuis une adresse MAC, positionnées avant la règle autorisant le VPN SSL, n'entraîne plus à tort un blocage du trafic empruntant le tunnel VPN SSL.
Certificats et PKI
Références support 76892 - 85114
Lors de la création d'une demande de signature de certificat (CSR - Certificate Signing Request) à l'aide de la commande CLI / Serverd PKI REQUEST CREATE, si des Subject Alternative Name (SAN) ou des User Principal Name (UPN) sont précisés (adresses IP, FQDN...), ils sont désormais correctement pris en compte et apparaissent bien dans la CSR et le certificat signé.
Certificats et PKI - IPsec- Mode Diffusion Restreinte (DR)
Référence support 84942
Dans une configuration avec un chaîne de confiance du type : Autorité de Certification (certificat signé en RSA) -> Sous-Autorité de Certification (certificat signé en ECDSA ou ECSDSA sur courbe ECP 256 ou BP 256) servant d'ancre de confiance (TrustAnchor) -> Certificat (signé en ECDSA ou ECSDSA sur courbe ECP 256 ou BP 256), les tunnels IPsec en mode DR refusaient à tort de s'établir. Ce problème a été corrigé pour se conformer aux RFC de référence pour le mode Diffusion Restreinte.
Système - SNi20
Références support 84870 - 85037
Le mécanisme de surveillance de l'activité matérielle du firewall (watchdog) se déclenchait à tort avant le mécanisme de surveillance logicielle du système lorsque celui-ci était positionné sur sa valeur par défaut (120 secondes). Ce problème a été corrigé.
Supervision de la mémoire des firewalls SN310
Références support 85022 - 85155
Une anomalie dans la gestion des données de supervision de la mémoire pouvait provoquer à tort une alerte d’utilisation de la mémoire ainsi qu'un changement d'état de l'indicateur de santé correspondant dans le Tableau de bord des firewalls SN310. Cette anomalie a été corrigée.
Supervision des tunnels IPsec
Référence support 84776
Le rafraîchissement de l'écran de supervision des tunnels IPsec ne provoque plus l'erreur système Command processing failed.
Route par défaut - DHCP - IPv6
Référence support 85124
Dans une configuration telle que :
- La passerelle par défaut du firewall est apprise via DHCP,
- IPv6 est activé sur le firewall.
Toute modification (nom, protégée ou non ...) apportée à une interface ayant un adressage en DHCP n'entraîne plus la suppression de la route par défaut du firewall.
Traces - Syslog - IPFIX
Références support 84493 - 84876
Dans une configuration mettant en œuvre l'envoi de logs par UDP/syslog ou IPFIX sans préciser l'adresse IP du firewall devant être utilisée pour ces opérations, et en cas de forte activité d'envoi de logs, un problème d'accès concurrentiel pouvait entraîner une perte inopinée du réseau du firewall nécessitant un redémarrage de ce dernier. Ce problème a été corrigé.
Mise à jour du firewall via l'interface Web d'administration
Référence support 84962
Un problème lors de la mise à jour du firewall via l'interface Web administration pouvait entraîner un blocage inopiné de l'interface et empêcher la mise à jour du firewall. Ce problème a été corrigé.
Routage dynamique BIRD
Référence support 85249
Dans une configuration utilisant le protocole BGP avec authentification TCP-MD5, le rechargement de la configuration BGP n'empêche plus la renégociation des session BGP. Cette régression était apparue en version SNS 4.3.18.
Référence support 85221
Dans une configuration utilisant le protocole BGP avec authentification TCP-MD5, la directive "setkey no", devenue non fonctionnelle, est automatiquement remplacée par son équivalent "setkey yes" dans le fichier de configuration de bird/bird6 lors de la mise à jour du firewall en version SNS 4.3.20 ou supérieure. La présence de l'ancienne directive empêchait les sessions BGP authentifiées de s'établir après mise à jour du firewall. Cette régression était apparue en versions SNS 4.3.18.
Moteur de prévention d'intrusion
Haute disponibilité - Associations SCTP et connexions TCP/UDP
Référence support 84792
Dans une configuration en haute disponibilité, suite à une double bascule (Actif / Passif / Actif), les dates d'établissement des associations SCTP et des connexions TCP/UDP ne sont plus erronées.
Interface Web d'administration
Filtrage URL / Filtrage SSL / Filtrage SMTP
Référence support 85164
Dans les modules de Filtrage URL, Filtrage SSL ou Filtrage SMTP, la suppression de la première règle de filtrage ne provoque plus une désynchronisation des identifiants des autres règles de la politique.
Interfaces VLAN
Référence support 85226
La tentative de suppression d'un VLAN lorsque le routage dynamique Bird est activé fait de nouveau apparaître la fenêtre indiquant que cette opération n'est pas autorisée et que le routage dynamique doit être désactivé au préalable. Cette régression était apparue en version SNS 4.0.1.