Correctifs de SNS 4.3.24 LTSB
Système
Proxies
Références support 85428 - 85495 - 85491
Des problèmes de blocages inopinés des proxies lors d'un rechargement de configuration ont été corrigés.
Captures réseau avec tcpdump sur interface usbus
Références support 85083- 85313
Le lancement d'une capture réseau avec l'utilitaire tcpdump sur une interface de type usbus ne provoque plus un redémarrage inopiné du firewall.
Firewalls virtuels EVA
Référence support 85273
Sur un firewall virtuel EVA, la limitation du nombre de CPU associée à l'activation de l'hyperthreading ne provoque plus un redémarrage inopiné du firewall.
QoS
Référence support 85019
Un problème dans la gestion de la suppression d'une file d'attente de type CBQ utilisée en tant que File d'attente d'acquittement (ACK) au sein d'une règle de filtrage pouvait aboutir à un redémarrage inopiné du firewall. Ce problème a été corrigé.
Passage en version SNS inférieure
Référence support 85247
Lors du passage d'un firewall dans une version SNS inférieure sans remise en configuration d'usine (defaultconfig), une tentative d'affichage de la liste des alarmes disponibles n'entraîne plus des redémarrages inopinés du moteur de prévention d'intrusion et du serveur de configuration par commande (serverd).
NAT
Référence support 84819
Un problème a été corrigé dans le mécanisme de gestion du NAT. Ce problème pouvait remplir à tort la table des ports translatés utilisés pour des flux nécessitant des connexions filles (par exemple : FTP, RTSP...), empêchant alors la création d'une nouvelle connexion fille et provoquant l'interruption du trafic concerné.
Filtrage et NAT
Références support 85357 - 85376
Dans le cas d'une règle de filtrage faisant appel à un ensemble d'objets réseau dont un est lié à une interface configurée en DHCP et désactivée, le redémarrage du firewall ne provoque plus l'activation à tort de la règle de filtrage "(1) Block all". Cette régression était apparue en version SNS 4.3.21.
Référence support 85239
Dans une situation telle que :
- Le firewall dispose d'un bridge regroupant plusieurs interfaces. Sur ce bridge :
- Le trafic depuis une des interfaces du bridge vers une interface externe au bridge est autorisé par une règle de filtrage en mode Firewall,
- Le trafic depuis une autre interface du bridge vers la même interface externe au bridge est bloqué par une autre règle de filtrage.
- Une connexion est établie entre une machine cliente et le serveur via la première règle,
- Une machine infectée ou une sonde d'intrusion située sur la même interface que le serveur envoie un paquet de type reset portant les mêmes références que la connexion établie (adresses source / destination et ports source / destination).
Le paquet provenant de la machine infectée ou de la sonde d'intrusion était correctement bloqué, mais l'interface source de la machine cliente était modifiée à tort et sa connexion établie avec le serveur était interrompue. Ce problème a été corrigé.
Connexion à l'interface Web d'administration avec le compte admin
Références support 85266 - 85309 - 85349 - 85437 - 85494
Dans certaines circonstances, une tentative de connexion à l'interface Web d'administration avec le compte admin pouvait échouer et provoquer un redémarrage inopiné du serveur de configuration par commande (serverd). Ce problème a été corrigé.
Haute disponibilité (HA)
Références support 77890 - 83274
Sur un firewall en haute disponibilité ayant fait l'objet de plusieurs bascules de rôle au sein du cluster, certains paquets empruntaient une route de retour erronée tout en présentant l'adresse IP de la bonne route de retour. Ce problème, qui provoquait l'interruption du flux concerné, a été corrigé.
Haute disponibilité - Synchronisation des listes de certificats révoqués (CRL)
Les CRL récupérées sur le firewall actif sont de nouveau synchronisées avec le firewall passif. Cette régression était apparue en version SNS 4.3.23 LTSB et générait une alarme lorsqu'une CRL du firewall passif était expirée.
Alertes e-mail
Références support 84511 - 82823
Lorsque l'envoi d'un e-mail par le firewall était réalisé au travers d'une connexion chiffrée avec un serveur SMTP à l'aide du protocole TLS, le rechargement de la configuration du service d'envoi d'e-mail provoquait à tort un passage en mode non chiffré pouvant aboutir à un échec de connexion du firewall avec le serveur SMTP. Ce problème a été corrigé.
Fuites mémoire
Référence support 85363
Des problèmes de fuite mémoire ont été corrigés dans les moteurs de configuration du firewall et de gestion de son agent SNMP.
VPN IPsec
Référence support 85439
Des paquets chiffrés dans un premier tunnel IPsec n'étaient plus autorisés à emprunter ensuite un second tunnel établi au travers d'interfaces IPsec virtuelles. Cette régression, apparue en version SNS v4, a été corrigée.
Supervision IPsec
Référence support 85399
La supervision des SA (Security Associations) n'échoue plus lorsque le correspondant contient une plage d'adresses IP.
Annuaire LDAP interne
Référence support 84495
La commande permettant de surveiller les modifications de configuration, utilisée notamment par le serveur SMC, ne déclenche plus de redémarrage du moteur de gestion de l'annuaire LDAP interne.
Interface en DHCP
Référence support 85305
La modification manuelle de la vitesse de média d'une interface configurée en DHCP ne lui fait plus perdre son adresse IP.
Routage dynamique BIRD - BGP et Authentification MD5
Référence support 85373
Dans une configuration de routage dynamique BIRD utilisant le protocole BGP avec de l'authentification MD5, l'absence d'adresse source pour cette configuration BGP provoque désormais l'affichage d'un message d'avertissement invitant l'administrateur à renseigner une adresse source dans la configuration de BIRD. Ceci permet d'éviter un dysfonctionnement de la session BGP concernée. Cette régression était apparue en version SNS 4.3.21 LTSB.
Port d'écoute de l'interface Web d'administration
Référence support 85450
Une tentative de modification du port d'écoute de l'interface Web d’administration (TCP/443 par défaut) ne provoque plus une erreur système dans le moteur de configuration du firewall et est désormais correctement prise en compte.
Gestion des agents SSO
Références support 85430 - 85443
Un problème de fuite mémoire a été corrigé dans le mécanisme de gestion des agents SSO.
Service de gestion des logs - Syslog TCP
Références support 85297 - 85396
Le service de gestion des logs du firewall ne s'arrête plus de fonctionner lorsque sa configuration est modifiée et que la connexion utilisée entre le serveur Syslog TCP et le firewall n'est pas fiable ou instable.
Moteur de prévention d'intrusion
Analyse IPS - Alarmes
Référence support 85210
Des paquets provoquant l'une des alarmes intervenant avant le contrôle du filtrage traversaient néanmoins le firewall malgré la présence d'une règle de filtrage destinée à bloquer le trafic réseau correspondant. Ce problème a été corrigé.
Consultez la liste des alarmes intervenant avant le contrôle du filtrage dans la Base de Connaissances Stormshield (authentification nécessaire).
Protocole LDAP
Référence support 84561
Les paquets d'authentification GSSAPI sont désormais correctement pris en charge par le moteur d'analyse protocolaire LDAP et ne génèrent plus à tort une alarme de type "Mauvais protocole LDAP" (erreur ldap_tcp:427).
Interface Web d'administration
Serveur DHCP et manipulations de la partition de logs
Référence support 84501
L’activation du Serveur DHCP du firewall n'empêche plus les opérations de maintenance sur la partition de logs via l'interface Web d'administration (démontage / montage, formatage...).