Correctifs de SNS 4.3.42 QS

Système

Mécanisme de bypass - Firewalls industriels SNi20 / SNi40

Le bypass se déclenche de nouveau correctement en cas d'interruption inopinée du mécanisme de gestion matérielle du firewall. Cette régression était apparue en version SNS 4.3.35.

Logs

Référence support TAC-1101

Des fuites mémoire, qui entraînaient des blocages inopinés du moteur de gestion des logs, ont été corrigées.

Références support TAC-1250 - TAC-1277

Des problèmes de corruption mémoire ont été résolus afin d'éviter des blocages intempestifs du moteur de gestion des logs lors de l'envoi de données de télémétrie.

Pages d'authentification du firewall

Référence support TAC-1134

La directive CSP 'Frame-Ancestor' des pages Web d'authentification du firewall a été corrigée.

Authentification RADIUS

Référence support TAC-894 - TAC-409

La tentative d'authentification RADIUS d'un client issu d'un groupe distribué par les Vendor Specific Attribute (VSA) n'échoue plus et ne provoque plus un arrêt inopiné du moteur de gestion de l'authentification du firewall.

Réseau - Interfaces

Référence support TAC-1320

Une interface configurée en DHCP et désactivée n'est plus présente dans les objets dérivés de l'interface : Firewall_nom_interface, Firewall_all.

Proxy - Antivirus

Référence support TAC-1257

L'analyse antivirale de messages utilisant des en-têtes spécifiques, créées par certains clients de messagerie, comme Fetchmail par exemple, fonctionne désormais correctement.

Références support TAC-1126 - TAC-1205

Un problème pouvant provoquer le blocage du firewall lors de la mise à jour de la base antivirale a été corrigé.

Routage multicast dynamique

Référence support TAC-1371

Dans une configuration utilisant un agrégat d'interfaces réseau IXL, le redémarrage du firewall ou le passage de l'état inactif à actif de l'agrégat ne bloque plus à tort le passage des paquets multicast au travers de cet agrégat.

Haute disponibilité (HA)

Référence support TAC-1463

Les jetons de configuration caractérisant les délais d'attente lors d'un changement d'état d'une interface pour le calcul de qualité HA fonctionnent désormais correctement.

Références support TAC-1448 - TAC-1450

Les jetons de configuration <HAResyncBatchSize> et <HaResyncBatchDelay> peuvent désormais être ajoutés via la commande setconf dans la configuration d'une politique globale VPN IPsec (Global/VPN/XX).

Mises à jour via Active Update

Référence support TAC-1151

La présence d'un objet global dans les serveurs Active Update n'empêche plus le bon fonctionnement de ce mécanisme de mise à jour.

Système

Référence support TAC-1123

La section [Misc] du fichier System/global correspondant aux limites du firewall est désormais modifiable à l'aide du fichier System/global.custom.

Objets routeur

Référence support TAC-1338

Dans une configuration SD-WAN avec :

  • Un objet routeur défini avec une passerelle nominale et une passerelle de secours,
  • Les deux interfaces supportant ces passerelles adressées en DHCP.

L'interface supportant la passerelle active est désormais correctement mise à jour lors d'une bascule de passerelle et le moteur de prévention d'intrusion ne redémarre plus en boucle.

Événements système - Haute disponibilité

Les informations de Nom du nœud système ont été ajoutées dans les événements système liés à la HA.

Stormshield Management Center (SMC) - Firewalls en haute disponibilité

Référence support 86231

Suite à un déploiement de configuration via SMC sur un cluster de firewalls, les fichiers de retour arrière sont désormais correctement supprimés sur le firewall passif. Ce problème de non-suppression de fichiers pouvait entraîner un retour arrière différé et inopiné lors d'une bascule au sein du cluster.

Matériel

SNi20 - Stockage Disk-On-Module à interface SATA (SATADOM)

Référence support TAC-1263

Pour éviter d'éventuels dysfonctionnements, une mise à jour de firmware des SATADOM des firewalls modèle SNi20 est automatiquement appliquée lors de la mise à jour en version SNS 4.3.42 QS.

Moteur de prévention d'intrusion

Protocole TCP

Référence support TAC-1179

L'utilisation de l'option Activer l'ajustement automatique de la mémoire dédiée au suivi de données associée à des options avancées du type TCP Selective ACKnowledgment (SACK) ne provoque plus à tort un débordement de la file de données, caractérisé par l'alarme bloquante "Débordement de la file de données TCP" (tcpudp:84).

Références support TAC-1166 - TAC-1254

Des problèmes ont été identifiés et corrigés dans le code du moteur de prévention d'intrusion. Ces problème pouvaient engendrer un blocage du firewall.

Référence support TAC-1315

Routage dynamique BIRD

Référence support TAC-470 - TAC-404

Désormais, seules les routes que BIRD envoie au noyau sont récupérées dans la table des adresses réseaux protégées.