IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.11.8 LTSB
Système
Proxies
Référence support 81624
Dans une configuration utilisant de l'authentification multi-utilisateurs, la gestion des directives CSP (content-security-policy) de type "img-src https://*" provoquait un redémarrage inopiné du service proxy. Ce problème a été corrigé.
VPN IPsec
Références support 79713 - 81464
Une perte de quelques paquets pouvait survenir lors du renouvellement des clés d'un tunnel IPsec. Ce problème a été corrigé.
Récupération régulière des CRL
Référence support 81259
L'utilisation de la vérification des CRL au travers du proxy ne fonctionnait pas car le port pour joindre le proxy n'était pas correctement pris en compte. Ce problème a été corrigé.
Haute disponibilité (HA) et VPN IPsec (IKEv2 ou IKEv1+IKEv2)
Référence support 79874
Un problème d'accès concurrentiels entre le mécanisme de log du VPN IPsec et le cache de la HA, suite à une synchronisation de la configuration IPsec, provoquait une interruption du service VPN IPsec. Ce problème a été corrigé.
Proxy SSL
Référence support 77207
Un redémarrage inopiné du proxy SSL pouvait intervenir lorsque toutes les conditions suivantes étaient réunies :
- Une politique de filtrage SSL appliquant une action "Passer sans déchiffrer" lorsqu'un CN n'a pas pu être classifié dans une catégorie,
-
Une première connexion correspond à cette règle (action "Passer sans déchiffrer") car la classification du CN échoue,
- Une connexion simultanée au même site voit sa classification aboutir sur une action "Bloquer sans déchiffrer".
Ce problème a été corrigé.
Annuaire LDAP externe
Référence support 81531
Après la création d'un annuaire LDAP externe accessible via une connexion sécurisée, l'activation de l'option Vérifier le certificat selon une Autorité de certification et la sélection d'une CA de confiance n'aboutissent plus à une erreur interne du firewall.
Service de réputation des IP et de géolocalisation
Référence support 77980
Une anomalie liée au service de réputation des IP et de géolocalisation pouvait provoquer une corruption de mémoire aboutissant à un redémarrage inopiné du firewall. Ce problème a été corrigé.
Réseau
Bridge - Adresses MAC
Référence support 80652
Dans le cas d'interfaces rattachées à un bridge, lorsqu’un équipement réseau est déplacé et que le trafic réseau qu'il génère n'est plus lié à la même interface physique, le firewall associe automatiquement l'adresse MAC de l'équipement à la nouvelle interface dès réception d'une requête Gratuitous ARP issue du nouvel équipement.
Ce basculement n'était pas correctement pris en charge lorsque l'adresse MAC était différente après déplacement. Ce problème a été corrigé.
Routage multicast - Translation d'adresse
Référence support 80359
Les paquets d'un trafic réseau multicast ne sont plus dupliqués si le routage multicast est appliqué après une règle de NAT destination appliquée à ce trafic.
Machines virtuelles
Numéros de série des firewalls VPAYG
Référence support 76157
Les numéros de série des firewalls VPAYG (numéro de série du firewall auquel est ajoutée une extension de type "-XXXXXXXX") n'étaient pas reconnus par le mécanisme de supervision de la haute disponibilité. Ce problème a été corrigé.