Correctifs de SNS 4.3.22 LTSB
Système
Objets routeur
Référence support 84963
La mise à jour en version SNS 4.3.22 LTSB ou supérieure d'un firewall utilisant un objet routeur :
- Créé dans une version antérieure à SNS 4.3,
- Dont le nom comporte l'un des caractères "+" (signe plus) ou "^" (accent circonflexe).
Ne rend plus cet objet routeur inopérant dans la configuration du firewall.
Configuration - Objets réseau
Référence support 85274
Le renommage d'un objet appartenant à un groupe auto-généré (exemple de groupe auto-généré : Network_internals) est désormais correctement réalisé. Cette opération ne génère plus l'erreur système "L'objet est inclus dans 1 ou plusieurs groupes" et le nouveau nom de l'objet est correctement modifié dans l'ensemble des groupes et modules de configuration l'utilisant. Cette régression était apparue en version SNS 4.3.15 LTSB.
Tunnel GRETAP
La modification de l'adresse IP d'une extrémité de tunnel GRETAP actif est désormais correctement prise en compte.
SD-WAN
Des incohérences dans l'unité de mesure utilisée pour les calculs et pour l'affichage du taux d'indisponibilité des passerelles ont été corrigées.
Référence support 85253
Pour les configurations SD-WAN utilisant les seuils SLA et dans lesquelles les passerelles principales d'un objet routeur présentent des scores SLA très proches, des optimisations permettent désormais d'éviter des changements trop fréquents de priorité entre ces passerelles.
Agent SNMP
Références support 84861 - 85133 - 85213 - 85232
Des problèmes concernant la gestion des tables SNMP, qui pouvaient entraîner un arrêt inopiné de l'agent SNMP, ont été corrigés.
Supervision - Firewalls SN-S-Series et SN-M-Series
Référence support 85261
Un firewall SN-S-Series ou SN-M-Series sorti d'usine, et équipé d'un seul module d'alimentation sur les deux possibles, ne génère plus à tort une alarme majeure indiquant que le deuxième module est absent, débranché ou défectueux.
VPN IPsec
Référence support 84821
Dans une configuration telle que, sur un site A :
- Un premier tunnel IPsec vers un site B est défini dans la politique IPsec,
- Un deuxième tunnel vers un site C est basé sur une interface IPsec virtuelle (VTI),
- Une route statique précise le réseau vers le site C,
- Le réseau défini pour l'extrémité de trafic du site C recouvre le réseau défini pour l'extrémité de trafic du site B.
Alors le trafic réseau destiné au site C (tunnel basé sur VTI) n'est plus dirigé à tort dans le tunnel vers le site B (tunnel défini dans la politique IPsec).
Référence support 85284
Des modifications ont été apportées au mécanisme de chargement du moteur de gestion IPsec afin d'éviter de potentiels accès concurrentiels à son fichier de configuration. Ceci bloquait le chargement de la configuration IPsec au démarrage du firewall.
Référence support 84856
La présence, dans le fichier de configuration IPsec, d'une chaîne (exemple : CN de certificat, nom de certificat...) pouvant faire référence à un algorithme de chiffrement obsolète (exemple : des, blowfish ...) ne bloque plus une mise à jour de firmware du firewall.
Références support 85179 - 84968
Un tunnel VPN IPsec, dont le profil de chiffrement de phase 2 (IPsec) utilise le groupe Diffie-Hellman DH18 MODP (modp8192) comme Perfect Forward Secrecy (PFS), parvient de nouveau à renégocier les clés de ses Associations de Sécurité (SA). Cette régression, qui interrompait le tunnel IPsec, était apparue en version SNS 4.2.
Configuration - IPsec
Référence support 84881
La présence d'un séparateur de règles dans la politique VPN IPsec combinée à l'existence d'un objet de type FQDN dans la base objets ne provoque plus à tort une erreur lors de la requête de résolution de l'objet FQDN.
Authentification - Agent SSO
Référence support 85052
Dans une configuration ayant utilisé simultanément plusieurs Agents SSO mais dont le premier agent de la liste a été supprimé depuis, le moteur d'authentification Agent SSO démarre désormais correctement lors du rechargement de la politique d'authentification.
Machines virtuelles
Répartition de charge IPsec sur les CPU
Référence support 85225
Un problème de répartition de charge du chiffrement IPsec sur les CPU a été corrigé pour les firewalls virtuels EVA déployés sur des hyperviseurs utilisant la spécification SR-IOV (Single Root I/O Virtualization - Virtualisation d'entrée / sortie à racine unique).
Pour rappel, la répartition de charge de chiffrement IPsec est configurable via la commande CLI / Serverd CONFIG IPSEC CRYPTOLB UPDATE.
Moteur de prévention d'intrusion
Protocole TCP
Références support 84807 - 84515
Dans certains cas de figure, la réception d'un paquet RST lors de la fermeture d'une connexion pouvait laisser cette connexion dans un état semi-fermé. Cette situation empêchait les tentatives de connexions vers la même adresse IP et sur le même port et provoquait l'alarme "Paquet TCP invalide par rapport à l'état" (alarme tcpudp:97), jusqu'à ce que le délai d'expiration de la connexion semi-fermée soit atteint. Ce problème a été corrigé.
Protocole OPC-UA
Référence support 85275
Le moteur d'analyse du protocole OPC-UA est désormais basé sur la spécification 1.0.5 de ce protocole. Ceci permet de ne plus bloquer à tort les messages de type ReverseHello, comportement qui interrompait la connexion OPC-UA en cours d'établissement.
Interface Web d'administration
Supervision - Logs
Référence support 85279
L'action de rafraîchir l'affichage des logs avec le filtre Dernière Heure actif ne provoque plus un décalage croissant de temps entre l'heure des derniers logs affichés et l'heure réelle du firewall.
Tableau de bord - Antivirus avancé
Référence support 85281
Dans une configuration telle que :
- L'antivirus est activé,
- Aucune règle de la politique de filtrage active ne fait appel à l'antivirus.
Le Tableau de bord du firewall n'indique plus à tort un état critique de cet antivirus.