Correctifs de SNS 4.3.28 LTSB

Système

Authentification RADIUS

Référence support 85727

Les authentifications RADIUS vers les serveurs FreeRADIUS sont de nouveau fonctionnelles. Cette régression était apparue en version 4.3.26 LTSB.

VPN IPsec

Références support 84983 - 85253 - 85452

En complément du correctif implémenté en version 4.3.20 LTSB concernant le VPN IPsec, des corrections ont été apportées au mécanisme de rechargement des règles de la politique VPN IPsec et le moteur de routage du firewall ne s'arrête plus de manière inopinée lorsque certaines configurations sont inchangées.

Objets dynamiques

Référence support 85397

Des optimisations permettent d'éviter un rechargement du proxy provoquant un ralentissement des connexions lorsqu'un objet dynamique (FQDN ou machine) est utilisé dans un mécanisme de filtrage ou de translation d'adresses du firewall SNS.

Mécanisme de sauvegarde du système sur la partition de secours

Référence support 85390

Des améliorations ont été apportées au mécanisme de sauvegarde du système sur la partition de secours (dumproot). Lorsqu'une sauvegarde est brutalement interrompue, la partition principale n'est plus corrompue et le firewall ne redémarre plus indéfiniment. Seule la partition de secours reste endommagée, et une nouvelle sauvegarde doit être réalisée pour rétablir l'état des deux partitions.

Translation d'adresses (NAT)

Référence support 85438

Les règles de la politique de NAT n'étaient pas appliquées dans les cas suivants :

  • Lorsque deux paquets appartenant à la même connexion mais dans des directions opposées arrivaient sur des cœurs différents du CPU (par exemple un paquet de A vers B et l'autre de B vers A),
  • Lorsqu'au même moment, une connexion était fermée et un nouveau paquet était reçu pour la même connexion.

Ces problèmes ont été corrigés.

Firewalls virtuels EVA déployés sur l'hyperviseur Linux KVM

Référence support 85635

Sur un firewall virtuel EVA déployé sur l'hyperviseur Linux KVM, l'état d'une interface débranchée dans la configuration de l'hyperviseur est désormais correctement pris en compte par le firewall. Ce problème faussait le résultat du calcul du facteur de qualité de la haute disponibilité (HA).

Moteur de prévention d'intrusion

Taille maximale des paquets COTP

Référence support 85353

La valeur maximale des paquets COTP est désormais de 65535 octets. Auparavant, la valeur maximale était de 4096 octets, et pouvait provoquer à tort l'alarme bloquante Attaque possible des ressources (ip:91).