Correctifs de SNS 4.3.30 LTSB
Système
Certificats et PKI - Serveur syslog
Des corrections ont été apportées au mécanisme de vérification des CRL afin de ne plus autoriser la connexion et l'envoi de logs vers un serveur syslog dont le certificat est révoqué.
Qualité de service (QoS)
Référence support 85590
Un problème pouvant entraîner un blocage du firewall lors de la suppression d'une file d'attente de QoS a été résolu.
Sauvegardes automatiques et TPM
Référence support 84907
Suite au durcissement du système d'exploitation, la réalisation d'une sauvegarde automatique sur un firewall équipé d'un TPM initialisé fonctionne de nouveau correctement sans déclencher d'alarme "TPM operation not permitted".
Sauvegardes automatiques - Serveur personnalisé
Sur un firewall utilisant les sauvegardes automatiques de configuration vers un serveur personnalisé authentifié à l'aide d'un certificat, un clic sur le bouton Vérifier l'utilisation du module Objets > Certificats et PKI en ayant sélectionné ce certificat indique désormais correctement que ce certificat est utilisé dans la configuration du firewall. De même, il n'est plus possible de supprimer ce certificat sans déclencher d'erreur.
Réputation IP - Périphériques de stockage
Références support 84495 - 84933 - 85038 - 85081 - 85213
Le mécanisme d'ouverture du fichier de métadonnées des réputations IP a été modifié afin de limiter le nombre d'accès au périphérique de stockage. Ces accès disque trop nombreux pouvaient, dans certains cas, entraîner un redémarrage inopiné du firewall.
SD-WAN
Les calculs de priorité ont été revus afin d'éviter des problèmes de bascules de passerelles trop fréquentes : il n'existe plus d'échelle d'état entre passerelles dégradées. Le mécanisme de sélection des passerelles suit désormais les règles suivantes :
- Passerelles actives prioritaires sur les passerelles dégradées,
- Passerelles principales prioritaires sur les passerelles de secours.
Interfaces Intel utilisant le module de noyau igc
Référence support 85486
La configuration d'un VLAN sur une interface utilisant le module de noyau igc et incluse dans un bridge avec l'option Préserver le routage initial / Préserver les identifiants de VLAN activée ne provoque plus à tort le rejet des paquets issus d'autres VLAN traversants.
Ceci concerne les modèles de firewalls et les firewalls équipés des modules réseau suivants :
- Firewalls : SN-S-Series-220, SN-S-Series-320, SN-M-Series-520, SN-M-Series-720 et SN-M-Series-920.
- Modules : NA-EX-CARD-8x2_5G-C (8 x 2.5 Gb Ethernet Cuivre) et NC-1-8x2_5G-C (8 x 2.5 Gb Ethernet Cuivre).
Configuration
La mise à jour d'un firewall dont le disque présentait des défauts ne supprime plus le répertoire des fichiers de configuration. Ceci rendait le firewall injoignable.
Firewalls modèles SN160(W) / SN210(W) / SN310
Références support 84495 - 84933 - 85038 - 85081 - 85213
Des modifications ont été apportées au mécanisme de calcul des indicateurs Sécurité et Système afin de réduire le nombre d'accès disques. Ceci pouvait entraîner des redémarrages inopinés des firewalls modèles SN160(W) / SN210(W) / SN310.
Syslog - TLS 1.3
Référence support 85579
L'envoi de logs via Syslog en utilisant le protocole TLS 1.3 n'échoue plus lorsque le certificat utilisé pour l'authentification a été signé par une sous-CA.
Routage multicast statique dans des VLAN
Référence support 85562
Un problème d’interruption aléatoire de flux multicast routé de manière statique dans des VLAN a été corrigé.
Télémétrie
Un problème d'accès concurrentiel pouvant entraîner un arrêt inopiné du moteur de gestion de la télémétrie a été corrigé.
VPN IPsec - Authentification par certificat
Référence support 85607
Une mise à jour du moteur de gestion des tunnels IPsec avait entraîné une mauvaise interprétation par le firewall du SerialNumber comme étant le Surname, ce qui empêchait l'établissement des tunnels IPsec. Ce comportement a été corrigé.
VPN IPsec mode DR - Encapsulation UDP et NAT dynamique
Référence support 85629
Un tunnel configuré en mode DR, avec l'encapsulation UDP activée, et pour lequel l'un des deux correspondants a le port source de son trafic translaté (NAT dynamique) s'établit désormais correctement : le firewall distant détecte bien la nécessité d’encapsuler le trafic dans UDP.
Encapsulation GRE / GRETAP dans un tunnel IPsec
Référence support 85626
L'encapsulation de paquets GRE / GRETAP dans un tunnel IPsec est de nouveau fonctionnelle. Cette régression était apparue en version SNS 4.3.24.
VPN SSL
Référence support 85485
Pour les tunnels VPN SSL basés sur des certificats, la supervision du VPN SSL présente désormais uniquement les connexions établies.
Firewalls virtuels EVA déployés sur l'hyperviseur Linux KVM
Référence support 85722
L'extinction brutale d'une machine virtuelle en cours de configuration sur un hyperviseur KVM ne provoque plus de corruption de certains de ses fichiers de configuration.
Certificats et PKI - Serveur syslog
Des corrections ont été apportées au mécanisme de vérification des CRL afin de ne plus autoriser la connexion et l'envoi de logs vers un serveur syslog dont le certificat était révoqué.
Réseau
Routage dynamique BIRD
Référence support 85322
Des problèmes lors de l'ajout d'une route par défaut sur une interface protégée ou lors du passage d'une interface de publique à protégée avec une route par défaut ajoutée par BIRD ont été corrigés.
Ces problèmes ajoutaient par erreur le réseau 0.0.0.0/0 ou 0.0.0.0/32 dans la table des adresses protégées, ce qui déclenchait à tort l'alarme concernant une tentative d'IP spoofing et pouvait amener à perdre du trafic légitime.
Moteur de prévention d'intrusion
Gestion des connexions
Référence support 85370
Un problème dans la gestion des connexions par le moteur de prévention d’intrusion provoquant un redémarrage inopiné du firewall a été corrigé.