Correctifs de SNS 4.3.23 LTSB

Système

VPN IPsec

Références support 84572 - 84708 - 85270 - 85272

La présence d'un caractère issu d'un encodage autre que l'ASCII dans le sujet du certificat d'une CA de confiance n'empêche plus l'établissement du tunnel IPsec basé sur cette CA.

Authentification SSH multi-utilisateur - Commande SCP

Référence support 84848

Les comptes déclarés administrateurs du firewall avec le droit "Console (SSH)" peuvent de nouveau exécuter la commande SCP en SSH. Le compte "admin" n'était pas concerné par ce problème.

VPN - Vérification de révocation des certificats des correspondants (CRL)

Référence support 82506

Le déploiement d'une topologie VPN depuis un serveur SMC dont le paramètre CRLRequired est activé n'écrase plus sur le firewall SNS la liste de révocation de certificats (CRL) de la CA.

Firewalls modèles SN-S-Series-320 et SN-M-Series-520

Le nombre maximal de connexions HTTP / FTP / SMTP / POP3 autorisées pour les firewalls modèles SN-S-Series-320 et SN-M-Series-520 était erroné et est corrigé lors de la mise à jour du firewall en version 4.3.23 ou supérieure.

Proxies

Références support 85041 - 85048 - 85260 - 85286 - 85314

Un blocage des proxies ne se produit plus lorsqu'une règle de déchiffrement SSL rencontre un certificat présentant les caractéristiques suivantes :

  • Certificat avec un champ Sujet vide,
  • Certificat signé par une autorité n'étant pas reconnue de confiance par le proxy (exemple : CA auto-signée).

Et que l'action d'analyse du protocole SSL Certificats inconnus est positionnée à Déléguer à l'utilisateur.

Référence support 85254

Des problèmes de fuites mémoire dans les proxies ont été corrigés.

Supervision des tunnels IPsec

Référence support 85318

Dans la supervision des tunnels IPsec, une anomalie faisant apparaître les tunnels établis avec un correspondant en mode Responder-only comme des politiques d'exception (bypass) a été corrigée.

VPN SSL

Pour le serveur VPN SSL, il est désormais interdit de sélectionner :

  • Un port d'écoute TCP inférieur à 1024,
  • Un port d'écoute UDP inférieur à 1024 à l'exception du port UDP/443.

Commandes CLI / SSH

Référence support 85110

L'aide retournée par la commande sfctl --help -F précise désormais bien l'existence du jeton assoc.

Service client NTP

Le service client NTP ne s'arrête désormais plus de fonctionner sur un firewall disposant de plus de 1024 interfaces.

Routage

Référence support 85320

La mise à jour en version 4.3.23 LTSB d'un firewall pour lequel la route par défaut était définie avec un objet de type loopback (exemple : l'objet localhost ayant pour adresse IP 127.0.0.1) entraîne le remplacement automatique de cet objet par l'objet blackhole. Ceci permet d'assurer la compatibilité du routage préalablement configuré.

Moteur de prévention d'intrusion

Requête ICMP

Références support 84197 - 85387

Dans le cas d'un firewall avec :

  • Un serveur derrière une interface protégée,

  • Deux accès Internet distincts.

Suite à une requête depuis un réseau non protégé vers le serveur, si le serveur n'écoutait pas sur le port demandé, les paquets ICMP type 3 qu'il renvoyait empruntaient toujours la route par défaut. Les paquets passent à présent par la route de retour configurée.

Protocole NTP

Référence support 85077

Une vérification du champ NTP reference_timestamp déclenchait à tort une alarme 451 dans le plugin NTP. Cette vérification étant superflue, elle a été supprimée.

Haute disponibilité

Référence support 84766

Lors d'une bascule au sein du cluster, une anomalie dans le traitement de certaines connexions TCP / UDP déjà établies pouvait entraîner une instabilité du cluster. Cette anomalie a été corrigée.

Interface Web d'administration

VPN IPsec

Référence support 85312

La présence d'un espace dans le nom d'une configuration VPN IPsec nomade empêche le rechargement de la politique IPsec et la rend non fonctionnelle. L'interface Web d'administration du firewall et la commande CLI / Serverd CONFIG IPSEC POLICY MOBILE UPDATE interdisent désormais la saisie de ce caractère dans le nom d'une politique IPsec nomade.

Pour plus d'informations concernant la syntaxe de cette commande, veuillez-vous référer au Guide de référence des commandes CLI / Serverd.

Référence support 85334

La suppression du nom d'une règle de VPN IPsec est désormais interdite. Une règle avec un nom vide bloque en effet le rechargement de la politique IPSec complète.

Filtrage SMTP

Référence support 85347

L'interface Web d'administration n'interdit plus à tort de définir plusieurs règles référençant le même expéditeur pour des destinataires différents. Cette régression était apparue en version 4.0.

Haute disponibilité - Supervision

Référence support 85398

L'affichage des versions de firmware installées sur les partitions principales et de secours du membre passif du cluster est désormais correct.