Correctifs de SNS 4.3.25 LTSB

Système

Proxy SSL

Référence support 73331

Le proxy SSL accepte désormais le caractère "_" dans les noms des FQDN pour l'extension SNI (Server Name Indication).

VPN SSL

Référence support 85485

Pour une connexion VPN SSL avec authentification par certificat, la présence de balises HTML ou de caractères de type guillemets (") dans le nom d'utilisateur est désormais correctement traitée.

Référence support 84391

L'option destinée à empêcher un utilisateur de monter plus d'un tunnel SSL (option activable via la commande CLI / Serverd CONFIG OPENVPN UPDATE ForceOneTunnelPerUser=1) ne fonctionnait pas lorsque le nom d'utilisateur présenté incluait son nom de domaine (exemple : john.doe@acme.com). Cette anomalie a été corrigée.

Plus d'informations sur la commande CONFIG OPENVPN UPDATE.

EVA sur Microsoft Azure

Référence support 85325

Le mécanisme de vérification d'intégrité des fichiers a été adapté afin de ne plus déclencher à tort des alertes pour les EVA déployés sur la plate-forme Microsoft Azure. Ces alertes, qui concernaient notamment le chargeur de démarrage de la machine ou des bibliothèques spécifiques à cette plate-forme, perturbaient le bon fonctionnement du pilotage et des sauvegarde des machines virtuelles par Microsoft Azure.

Accès disque

Références support 84495 - 84933 - 85038 - 85081 - 85213 - 84626 - 85197

Des améliorations ont été apportées afin de limiter le nombre d'accès disque. Ces accès disque trop nombreux pouvaient, dans certains cas, entraîner un redémarrage inopiné d'un firewall modèle SN160(W), SN210(W) et SN310.

Haute disponibilité - Associations SCTP

Référence support 82047

Une absence de synchronisation des associations SCTP lors du rechargement de la politique de filtrage sur le firewall actif pouvait aboutir à une incohérence au sein du cluster : une connexion SCTP supprimée sur le firewall actif lors du rechargement du filtrage était toujours considérée comme active sur le firewall passif. Ce problème a été corrigé.

Vérification des certificats

Référence support 85206

Le mécanisme de récupération et de vérification des certificats de serveurs TLS prend désormais en compte les CA de confiance ajoutées par l'administrateur : celles-ci sont en effet stockées dans un répertoire différent de celui utilisé pour le stockage des CA téléchargées.

Filtrage URL / SSL - Extended Web Control (EWC) - Catégorie Divers

Les URL reconnues par le fournisseur de classification d'URL de la solution EWC et qui n'appartiennent à aucune catégorie prédéfinie sont désormais classifiées dans la catégorie Divers et non plus dans la catégorie Inconnu.

Filtrage URL / SSL - Extended Web Control (EWC) - Messages d'avertissement

Des améliorations ont été apportées dans le cas où une catégorie d'URL inconnue est utilisée dans la configuration du firewall SNS après la migration d'une politique de sécurité vers la nouvelle base d'URL EWC :

  • Les messages d'avertissement ne s'affichent plus dans le menu de gauche devant les noms de modules Filtrage et NAT, Filtrage URL et Filtrage SSL lorsque les catégories inconnues se trouvent dans une règle désactivée ou dans une politique inactive,
  • Le retour de la commande CLI / Serverd MONITOR MISC indique désormais dans les avertissements les catégories inconnues et la politique concernée.

Agent SNMP

Référence support 83679

Une erreur a été corrigée dans la valeur retournée par l'OID 1.3.6.1.2.1.1.7. Cette valeur est désormais 76, ce qui correspond à un équipement offrant des services sur les couches OSI 3, 4 et 7. Auparavant, la valeur retournée était 72.

GRETAP

Référence support 85417

Une anomalie de formatage des paquets GRETAP sortants (quelques octets excédentaires en début de paquet) a été corrigée. Cette anomalie, apparue en version 4.3.16 LTSB, rendait les captures réseau GRETAP plus difficiles à analyser mais n'impactait aucunement le bon fonctionnement des communications GRETAP.

Authentification - Attaque par force brute

Référence support 81350

Lors du déclenchement du mécanisme de protection contre les attaques par force brute, l'alarme générée ne contient plus une adresse de destination systématiquement égale à 0.0.0.0. Cette régression était apparue en version SNS 4.1.1.

Tableau de bord - Indicateurs de santé

Référence support 85392

L'indicateur de santé des certificats présent sur le module Tableau de bord ne remonte plus à tort d'alerte lorsqu'une CA possède une durée de vie supérieure à 68 ans. Ce problème persiste sur les firewalls modèles SN160(W), SN210(W) et SN310.

Moteur de prévention d'intrusion

Connexions TCP - Proxy

Références support 84867 - 85385

A la fin d'un échange de paquets TCP, si le serveur ou le client ignore la fermeture de connexion envoyée par le correspondant, le moteur de prévention d'intrusion du firewall ne continue plus d'envoyer à tort et en boucle des paquets de type ACK ou FIN / ACK.

Protocole SMTP

Référence support 84220

Une connexion SMTP initiée par un client qui envoyait une commande STARTTLS avant la commande EHLO n'est désormais plus bloquée à tort en générant l'alarme "Protocole SMTP invalide".

Protocole SMTP - Support UTF-8

Référence support 83791

Le moteur d'analyse protocolaire SMTP ne bloque plus à tort les caractères UTF-8 dans le trafic SMTP lorsque le serveur a précisé leur légitimité via l'option SMTPUTF8.

Gestion des vulnérabilités

Référence support 85526

La taille du cache contenant les vulnérabilités détectées sur les machines clientes du firewall a été augmentée afin d'éviter une consommation CPU excessive de la part du moteur de prévention d'intrusion lorsque ce cache était rempli. La taille de ce cache est ainsi passée de 128 à 2048 entrées possibles.

Interface Web d'administration

Filtrage - Règle d'authentification - Objets Web

Référence support 85447

Lorsqu'une règle d'authentification est définie dans la politique de filtrage, il n'est plus possible de créer ou modifier un objet Web directement depuis cette règle. Cette action provoquait une instabilité de l'interface Web d'administration.

Certificats et PKI

Référence support 85388

La vérification de l'utilisation d'une Autorité de Certification (CA) dont le nom contient une apostrophe est désormais fonctionnelle.

VPN IPsec

Référence support 85442

Suite à l'import d'une CA et de plusieurs identités signées par cette CA, seul le certificat de la première identité importée pouvait être utilisé pour la création d'un correspondant IPsec. La sélection d'un autre certificat importé échouait. Ce problème a été corrigé.

Objet machine avec résolution DNS automatique

Référence support 85515

Le caractère "/" n'est plus autorisé à la fin du nom d'un objet machine configuré en résolution DNS automatique.

Objets

Références support 84588 - 84719

Il n'est plus possible de forcer la suppression d'un objet utilisé dans la configuration du firewall, ceci afin de ne plus créer d'incohérences de configuration.