Correctifs de SNS 4.3.24 LTSB

Système

Proxies

Références support 85428 - 85495 - 85491

Des problèmes de blocages inopinés des proxies lors d'un rechargement de configuration ont été corrigés.

Captures réseau avec tcpdump sur interface usbus

Références support 85083- 85313

Le lancement d'une capture réseau avec l'utilitaire tcpdump sur une interface de type usbus ne provoque plus un redémarrage inopiné du firewall.

Firewalls virtuels EVA

Référence support 85273

Sur un firewall virtuel EVA, la limitation du nombre de CPU associée à l'activation de l'hyperthreading ne provoque plus un redémarrage inopiné du firewall.

QoS

Référence support 85019

Un problème dans la gestion de la suppression d'une file d'attente de type CBQ utilisée en tant que File d'attente d'acquittement (ACK) au sein d'une règle de filtrage pouvait aboutir à un redémarrage inopiné du firewall. Ce problème a été corrigé.

Passage en version SNS inférieure

Référence support 85247

Lors du passage d'un firewall dans une version SNS inférieure sans remise en configuration d'usine (defaultconfig), une tentative d'affichage de la liste des alarmes disponibles n'entraîne plus des redémarrages inopinés du moteur de prévention d'intrusion et du serveur de configuration par commande (serverd).

NAT

Référence support 84819

Un problème a été corrigé dans le mécanisme de gestion du NAT. Ce problème pouvait remplir à tort la table des ports translatés utilisés pour des flux nécessitant des connexions filles (par exemple : FTP, RTSP...), empêchant alors la création d'une nouvelle connexion fille et provoquant l'interruption du trafic concerné.

Filtrage et NAT

Références support 85357 - 85376

Dans le cas d'une règle de filtrage faisant appel à un ensemble d'objets réseau dont un est lié à une interface configurée en DHCP et désactivée, le redémarrage du firewall ne provoque plus l'activation à tort de la règle de filtrage "(1) Block all". Cette régression était apparue en version SNS 4.3.21.

Référence support 85239

Dans une situation telle que :

  • Le firewall dispose d'un bridge regroupant plusieurs interfaces. Sur ce bridge :
    • Le trafic depuis une des interfaces du bridge vers une interface externe au bridge est autorisé par une règle de filtrage en mode Firewall,
    • Le trafic depuis une autre interface du bridge vers la même interface externe au bridge est bloqué par une autre règle de filtrage.
  • Une connexion est établie entre une machine cliente et le serveur via la première règle,
  • Une machine infectée ou une sonde d'intrusion située sur la même interface que le serveur envoie un paquet de type reset portant les mêmes références que la connexion établie (adresses source / destination et ports source / destination).

Le paquet provenant de la machine infectée ou de la sonde d'intrusion était correctement bloqué, mais l'interface source de la machine cliente était modifiée à tort et sa connexion établie avec le serveur était interrompue. Ce problème a été corrigé.

Connexion à l'interface Web d'administration avec le compte admin

Références support 85266 - 85309 - 85349 - 85437 - 85494

Dans certaines circonstances, une tentative de connexion à l'interface Web d'administration avec le compte admin pouvait échouer et provoquer un redémarrage inopiné du serveur de configuration par commande (serverd). Ce problème a été corrigé.

Haute disponibilité (HA)

Références support 77890 - 83274

Sur un firewall en haute disponibilité ayant fait l'objet de plusieurs bascules de rôle au sein du cluster, certains paquets empruntaient une route de retour erronée tout en présentant l'adresse IP de la bonne route de retour. Ce problème, qui provoquait l'interruption du flux concerné, a été corrigé.

Haute disponibilité - Synchronisation des listes de certificats révoqués (CRL)

Les CRL récupérées sur le firewall actif sont de nouveau synchronisées avec le firewall passif. Cette régression était apparue en version SNS 4.3.23 LTSB et générait une alarme lorsqu'une CRL du firewall passif était expirée.

Alertes e-mail

Références support 84511 - 82823

Lorsque l'envoi d'un e-mail par le firewall était réalisé au travers d'une connexion chiffrée avec un serveur SMTP à l'aide du protocole TLS, le rechargement de la configuration du service d'envoi d'e-mail provoquait à tort un passage en mode non chiffré pouvant aboutir à un échec de connexion du firewall avec le serveur SMTP. Ce problème a été corrigé.

Fuites mémoire

Référence support 85363

Des problèmes de fuite mémoire ont été corrigés dans les moteurs de configuration du firewall et de gestion de son agent SNMP.

VPN IPsec

Référence support 85439

Des paquets chiffrés dans un premier tunnel IPsec n'étaient plus autorisés à emprunter ensuite un second tunnel établi au travers d'interfaces IPsec virtuelles. Cette régression, apparue en version SNS v4, a été corrigée.

Supervision IPsec

Référence support 85399

La supervision des SA (Security Associations) n'échoue plus lorsque le correspondant contient une plage d'adresses IP.

Annuaire LDAP interne

Référence support 84495

La commande permettant de surveiller les modifications de configuration, utilisée notamment par le serveur SMC, ne déclenche plus de redémarrage du moteur de gestion de l'annuaire LDAP interne.

Interface en DHCP

Référence support 85305

La modification manuelle de la vitesse de média d'une interface configurée en DHCP ne lui fait plus perdre son adresse IP.

Routage dynamique BIRD - BGP et Authentification MD5

Référence support 85373

Dans une configuration de routage dynamique BIRD utilisant le protocole BGP avec de l'authentification MD5, l'absence d'adresse source pour cette configuration BGP provoque désormais l'affichage d'un message d'avertissement invitant l'administrateur à renseigner une adresse source dans la configuration de BIRD. Ceci permet d'éviter un dysfonctionnement de la session BGP concernée. Cette régression était apparue en version SNS 4.3.21 LTSB.

Port d'écoute de l'interface Web d'administration

Référence support 85450

Une tentative de modification du port d'écoute de l'interface Web d’administration (TCP/443 par défaut) ne provoque plus une erreur système dans le moteur de configuration du firewall et est désormais correctement prise en compte.

Gestion des agents SSO

Références support 85430 - 85443

Un problème de fuite mémoire a été corrigé dans le mécanisme de gestion des agents SSO.

Service de gestion des logs - Syslog TCP

Références support 85297 - 85396

Le service de gestion des logs du firewall ne s'arrête plus de fonctionner lorsque sa configuration est modifiée et que la connexion utilisée entre le serveur Syslog TCP et le firewall n'est pas fiable ou instable.

Moteur de prévention d'intrusion

Analyse IPS - Alarmes

Référence support 85210

Des paquets provoquant l'une des alarmes intervenant avant le contrôle du filtrage traversaient néanmoins le firewall malgré la présence d'une règle de filtrage destinée à bloquer le trafic réseau correspondant. Ce problème a été corrigé.

Consultez la liste des alarmes intervenant avant le contrôle du filtrage dans la Base de Connaissances Stormshield (authentification nécessaire).

Protocole LDAP

Référence support 84561

Les paquets d'authentification GSSAPI sont désormais correctement pris en charge par le moteur d'analyse protocolaire LDAP et ne génèrent plus à tort une alarme de type "Mauvais protocole LDAP" (erreur ldap_tcp:427).

Interface Web d'administration

Serveur DHCP et manipulations de la partition de logs

Référence support 84501

L’activation du Serveur DHCP du firewall n'empêche plus les opérations de maintenance sur la partition de logs via l'interface Web d'administration (démontage / montage, formatage...).