IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.11.9 LTSB
Système
Événements système
Référence support 80426
L'événement système n°19 : "LDAP inaccessible" se déclenche désormais en cas de problème d'accès à un annuaire LDAP défini dans la configuration du firewall.
VPN IPsec
Référence support 77477
Une configuration IPsec associée à une règle de NAT concernant les paquets destinés au tunnel et une règle de QoS pour les flux transitant par ce tunnel provoquait la saturation de la mémoire du firewall et entraînait l'instabilité du cluster en cas de configuration en haute disponibilité. Ce problème a été corrigé.
Référence support 82729
Lorsqu'un certificat était caractérisé par un nom (DN - Distinguished Name) long de plus de 128 caractères, seuls les 128 premiers caractères étaient conservés par le firewall. Le déploiement via SMC d'une configuration IPsec avec un tel certificat échouait donc car les DN de certificats ne concordaient pas.
Cette taille maximale a été portée à 240 caractères (limite technique).
Référence support 81471
Dans une configuration utilisant un tunnel VPN IPsec soumis à une forte charge réseau, l'expiration d'une entrée ARP ne provoque plus de perte de paquets réseau.
Références support 82645 - 83087
Dans une configuration IPsec utilisant un groupe contenant des plages d'adresses, les tunnels montés pouvaient être interrompus lorsque le groupe contenant les plages d'adresses était modifié, générant ainsi des erreurs TS_UNACCEPTABLE. Ce problème a été corrigé.
VPN IPsec - Routage
Référence support 80662
La prise en compte d'un changement d'état d'une route réseau associée à une Security Policy IPsec n'entraîne plus un arrêt inopiné du service et un blocage du firewall.
Annuaire LDAP - Serveur de secours
Référence support 80428
Dans une configuration LDAP(S) définie avec un serveur de secours, lorsque :
- Le firewall a basculé sur le serveur LDAP(S) de secours faute de réponse du serveur principal,
- Le serveur de secours ne répond pas à son tour.
Alors le firewall tente de se reconnecter immédiatement au serveur principal sans attendre le délai de 10 minutes défini en configuration d'usine.
Agent SNMP
Référence support 81710
Des problèmes de fuites mémoire liés à l’agent SNMP ont été corrigés.
Référence support 81573 - 81588 - 81529
Lorsque le firewall reçoit une requête SNMP, l'adresse de réponse utilisée par l'agent SNMP est de nouveau correcte et correspond bien à l'adresse IP du firewall interrogée lors de cette requête SNMP.
Référence support 81710
Des améliorations ont été apportées au mécanisme de gestion de la table des alarmes SNMP. Elles permettent d'éviter un phénomène de duplication des OID qui empêchait l'émission de certaines alarmes.
Vérification des CRL
Référence support 82370
Lorsqu'une CRL contient un objet caractérisé par un nom de domaine qualifié (FQDN), la résolution DNS de ce FQDN fonctionne de nouveau correctement lorsque le firewall vérifie la CRL. Cette régression était apparue en version SNS 3.11.1.
ICMP - IPv6
Référence support 82547
Dans une configuration utilisant IPv6, un problème d'accès concurrentiel pouvait entraîner un blocage du firewall lors de la réception de paquets ICMP de type "destination injoignable". Ce problème a été corrigé.
Agrégats de liens réseau
Référence support 82211
La perte d'un lien au sein d'un agrégat réseau ne permettait pas la bascule vers un autre lien avant un délai d'attente de 3 secondes, provoquant donc une interruption des flux durant ces 3 secondes. Ce problème a été corrigé.
Haute disponibilité (HA)
Référence support 82211
Le mécanisme de nettoyage ARP (option de la haute disponibilité) a été amélioré afin d'éliminer les entrées au moment opportun. Avant ce correctif, ces entrées pouvaient être supprimées trop tôt, ce qui pouvait entraîner un délai dans la reprise de certains trafics réseau.
Référence support 80049
Dans une configuration en haute disponibilité, après le basculement d'un nœud de l'état actif à l'état passif, le nœud passif continuait de superviser les objets routeurs en plus des interfaces HA, générant ainsi des erreurs d'envoi de paquets. Ce problème a été corrigé.
Référence support 80049
Dans une configuration en haute disponibilité, après un double basculement d'un nœud (de l'état actif à l'état passif, puis de nouveau à l'état actif), une anomalie de communication entre plusieurs composants du mécanisme de supervision des passerelles provoquait des incohérences dans l'état des passerelles supervisées ainsi que dans la mise à jour des routes permettant de superviser ces passerelles. Ces problèmes ont été corrigés.
Réseau
Renouvellement d'un bail DHCP
Références support 82238 - 82359
Lorsqu'un paquet UNICAST en provenance du port 67 et à destination du port 68 tentait de traverser le firewall (notamment dans le cas d'un renouvellement d'un bail DHCP), ce dernier pouvait être bloqué et ne jamais aboutir si l'interface de provenance et de sortie du paquet ne faisait pas partie d'un bridge.
Désormais, il est possible de corriger ce comportement en modifiant la valeur du paramètre UseAutoFastRoute à Off grâce à la commande CLI / Serverd suivante :
CONFIG PROTOCOL TCPUDP COMMON IPS CONNECTION UseAutoFastRoute=<On|Off>
Prévention d'intrusion
Statistiques du moteur de prévention d'intrusion
Références support 79713 - 82437 - 81466
Des optimisations ont été apportées au mécanisme de gestion des statistiques du moteur de prévention d'intrusion. Elles permettent d'éviter de potentielles pertes de paquets lors du traitement récurrent de ces statistiques sur un firewall soumis à une charge réseau importante.
Firewalls virtuels EVA
Commandes CLI / Serverd
Référence support 82637
La commande CLI / Serverd MONITOR HEALTH exécutée sur un firewall virtuel EVA retourne désormais la valeur N/A pour les modules physiques absents (Ventilateur, Disque...), au lieu de la valeur Unknown qui provoquait une anomalie sur les consoles d'administration SMC.