Correctifs de SNS 3.11.12 LTSB

Système

VPN IPsec

Références support 83903 - 84062

Monter un tunnel VPN IPsec avec authentification par certificat pouvait échouer lorsque la clé privée était protégée par le TPM. Une erreur "No private key found for <CN>" était alors enregistrée dans les logs. Ce problème a été corrigé.

Authentification

Référence support 82856

Une multiplication des requêtes d'authentification sur un firewall soumis à une forte activité pouvait entraîner une consommation CPU excessive et des pertes de paquets. Ce problème a été corrigé.

Filtrage et NAT

Références support 81369 - 83651

Un mécanisme d'optimisation permettant d’éviter une perte de paquets réseau au rechargement d'une politique de NAT possédant un grand nombre de règles peut être activé à l’aide la commande CLI / Serverd CONFIG PROTOCOL IP COMMON IPS CONFIG en ajoutant le paramètre natdiff aux paramètres existants de l'option OptimizeRuleMatch.

A partir d’une configuration par défaut, utilisez les paramètres suivants : OptimizeRuleMatch=equal,diff,cache,natdiff.

Toute modification doit ensuite être validée par la commande CONFIG PROTOCOL IP ACTIVATE.

Notez que ce mécanisme est désactivé par défaut.

Référence support 78647

L'export au format CSV des règles de filtrage / NAT générait à tort une valeur "Any" pour le champ "#nat_to_target" du fichier d'export, dans le cas où une règle de filtrage n'était associée à aucune règle de NAT. Cette anomalie empêchait alors l'import de ce fichier CSV dans SMC si la règle de filtrage concernée avait pour action "Bloquer".

Prévention d'intrusion

Proxy SSL

Référence support 80792

Le trafic de l'application Zoom étant incompatible avec l'analyse antivirale, ses CN ont été ajoutés au groupe de CN proxyssl_bypass.

Protocole HTTP

Référence support 83553

Des optimisations ont été apportées à l'analyse protocolaire HTTP permettant d'éviter une consommation mémoire excessive et une surcharge inappropriée du firewall.