Correctifs de SNS 4.3.21 LTSB
Système
Routage dynamique Bird IPv6
Référence support 84849
L'activation du routage dynamique Bird IPv6 pouvait entraîner une consommation excessive de tampons mémoire lorsque les correspondants OSPFv6 ou BGPv6 étaient injoignables. Ce problème a été corrigé.
Routage statique
Références support 85213 - 85027 - 85218
Une anomalie dans le mécanisme de rechargement de la politique IPsec a été corrigée afin d'éviter un possible échec du chargement des routes statiques.
Références support 84901 - 85018 - 85145
Des problèmes pouvant aboutir à un blocage inopiné des firewalls SN2100 et SN3100 ont été corrigés par la mise à jour du firmware du périphérique de stockage système.
SD-WAN
Références support 84839 - 85165
Le firewall ne génère plus à tort une entrée de log de type "Hôte distant joignable" pour chaque route statique, lors du rechargement de sa configuration réseau, si aucun changement n'est intervenu.
Interfaces - Base Objets
Références support 85267 - 85294
Lorsqu'une interface ne possède pas d'adresse IP (exemple : cas d'une dialup pas encore connectée suite au redémarrage du firewall), les objets de type Firewall_ et Network_ liés à cette interface sont à nouveau générés automatiquement. Cette régression, apparue en version SNS 4.3.19 LTSB, pouvait empêcher le chargement de la politique de filtrage.
Authentification - SSO Agent
Référence support 85133
Dans une configuration utilisant l'authentification SSO agent basée sur un annuaire LDAP externe principal et un annuaire LDAP externe de secours, la bascule de l'annuaire principal vers l'annuaire de secours pouvait provoquer un arrêt inopiné du moteur d'authentification. Ce problème a été corrigé.
VPN IPsec
Références support 85095 - 85252
Un firewall pour lequel l'option Ne pas initier le tunnel (Responder-Only) est activée ne génère plus à tort de requêtes de ré-authentification de phase 1.
Réseau
Il est désormais possible de configurer à un intervalle régulier l'envoi de requêtes ARP vers une passerelle afin que ses entrées ARP sur le firewall SNS n'expirent jamais. Ceci permet d'éviter des pertes de paquets dans certains cas spécifiques.
Moteur de prévention d'intrusion
Protocole SSL
Bien que l'alarme "Paquet SSL invalide" (alarme ssl:118) soit configurée avec l'action passer (alarme non bloquante), un paquet levant cette alarme provoquait à tort l’interruption de l'analyse protocolaire SSL. Cette anomalie a été corrigée.
Protocole UDP
Références support 84913 - 85142 - 85157
Un problème a été résolu lors de l'analyse de certains paquets UDP afin de ne plus provoquer de blocage inopiné du firewall.
Protocole LDAP
Référence support 83800
L'alarme "Attaque possible des ressources" (alarme ip:91) n'est plus déclenchée à tort lors du téléchargement d'une CRL de taille supérieure à 128 Ko via une requête LDAP.
Haute disponibilité - Protocole SCTP
Quand les propriétés des machines source ou destination participant à une association SCTP ne sont pas disponibles lors de la synchronisation de cette association entre les membres du cluster, l'association SCTP concernée n'est plus supprimée mais une tentative de synchronisation de cette association est replanifiée.
Interface Web d'administration
Supervision
Référence support 84535
L'action de déplier une catégorie dans la partie Rapports de l'onglet Supervision ne provoque plus à tort un retour à l'écran précédent.
Certificats et PKI - TPM
Références support 84223 - 84462
Sur un firewall dont le TPM n'était pas initialisé, le statut de santé du TPM indiquait une alerte mineure, et chaque accès au module Certificats et PKI entraînait l'affichage d'un message invitant l'administrateur à initialiser le TPM. L’administrateur peut désormais cliquer sur un bouton présent dans ce message afin ne plus le lui rappeler et de faire disparaître l'alerte mineure.