IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.4.0
Système
Haute Disponibilité
Référence support 66789
Suite à la perte du noeud actif du cluster, la reprise par l'autre noeud est maintenant plus efficace car son impact sur les ressources réseau est moindre.
Référence support 65652
A partir de SNS 3.3.1, dans un cluster composé de firewalls virtuels, la qualité affichée du lien Haute Disponibilité était de 0 alors que la communication entre les membres du cluster s'effectuait correctement. Ce problème a été corrigé.
VPN IPsec - IKEv1
Référence support 66135
La présence, dans une politique IPsec locale et une politique IPsec globale (déployée par exemple à l'aide de SMC ou SNCM), de correspondants ou d'extrémités de trafic se recouvrant empêchait l'activation de ces politiques. Ainsi, une politique locale basée sur des correspondants nomades définis par l'objet Any recouvrait toute politique globale de tunnels site à site. Ce problème a été corrigé.
VPN IPsec - IKEv2
Référence support 61227
Le firewall n'appliquait pas les droits d'accès utilisateur et refusait d'authentifier un utilisateur présentant un certificat dont le champ X509v3 Extended Key Usage était vide. Ce problème a été corrigé.
Référence support 66862
La mise à jour des CRL est correctement prise en compte pour les tunnels VPN en mode IKEv2.
Référence support 61100
Sur le produit SN150, les tunnels VPN en mode IKEv2 existants devenaient inopérants après quelques jours, nécessitant un redémarrage du programme ou du firewall. Ce problème a été corrigé.
Référence support 64048
Le nombre de SA (Security Association) IKE pour un même tunnel IPsec IKEv2 pouvait augmenter au fil du temps sans que les SA inutilisées ne disparaissent. La mise à jour du moteur de gestion des tunnels IKEv2 a corrigé ce problème.
Commandes SSH
Référence support 66189
La commande autoupdate pour mettre à jour tous les modules du firewall ne déclenche plus l'erreur suivante lorsqu'un des modules est configuré pour ne pas vérifier la signature des données téléchargées :
Error=Master file version mismatch! (-1 != 1)
Référence support 66137
Des améliorations ont été apportées à la commande SSH enwifi : elle n’est plus appelée par la commande ennetwork –f sur un modèle de firewall sans Wi-Fi. De plus, la commande enwifi –h ne génère plus d’alarmes inappropriées.
Routage
Référence support 64996
Un problème d'accès concurrentiels dans une configuration utilisant des règles de filtrage en mode firewall ainsi que des directives de routage par politique de filtrage (PBR) pouvait aboutir à un blocage du firewall. Ce problème a été corrigé.
Référence support 64070
Lors de l'ouverture d'une connexion fille à contresens de la connexion principale par les protocoles H323 et TFTP, le trafic n'atteignait pas sa destination si un routeur configuré dans des règles de filtrage (PBR) et/ou un routeur retour était associé à la connexion principale. Ce problème a été corrigé.
Référence support 67115
Un paquet retour dont le routage initial est une route statique vers une interface virtuelle (VTI) est maintenant redirigé correctement vers le routeur retour si le moteur de prévention d'intrusion l'exige.
Applications et protections
Référence support 61505
Certaines actions associées aux alarmes déclenchées par des signatures de protection contextuelle personnalisées ne fonctionnaient pas (e.g., envoi d'e-mail, mise en quarantaine). Ce problème a été corrigé.
Logs - Journaux d'audit
Références support 66899 - 66797 - 66900
Lorsqu'un service interne corrompait le système de remontée des journaux d'audit, ce dernier pouvait entraîner un blocage de tous les services sans provoquer un redémarrage du produit ou la prise de relai par un autre noeud du cluster. Ce problème a été corrigé.
Référence support 55251
Le nom de l'utilisateur qui a ouvert une connexion apparaît désormais correctement dans les journaux de connexion, même si un autre utilisateur a récupéré la même adresse IP entre temps.
Référence support 55251
Le démon logd chargé d'écrire les traces (logs) et de générer les rapports ne s'arrête plus inopinément et ne provoque plus de perte de traces.
VPN SSL
Référence support 65347
Les règles implicites pour OpenVPN TCP et UDP ne sont plus générées inutilement, mais uniquement en fonction du protocole activé (TCP et/ou UDP).
Références support 65392- 66937 - 65279
Pour résoudre des dysfonctionnements du service SSL VPN sur UDP, il est maintenant possible de définir l'IP d'écoute du service avec la commande CONFIG OPENVPN UPDATE udpBindAddr=(<firewall_ip_object>|""). Le détail de cette commande est disponible dans le document CLI SERVERD Commands Reference Guide.
Authentification SSO SPNEGO
Référence support 65439
Lorsque l'authentification SPNEGO est configurée, l'utilisateur accède désormais directement à un site web sans passer par le portail d'authentification, même si l'URL du site contient une apostrophe.
Proxies
Références support 66014 - 65028 - 65033
Dans certains cas, l'utilisation du proxy SMTP pouvait provoquer des arrêts inopinés du service pour tous les types de connexions dans le proxy : SMTP, mais aussi HTTP ou SSL. Ce problème a été corrigé.
Maintenance
Référence support 67022
Le rapport système (sysinfo) ne génère plus d'erreurs illégitimes concernant certains binaires du système.
Partition de logs
Référence support 64065
Le problème de corruption de la partition de logs suite à un arrêt inopiné de SNS a été corrigé.
Réseau
Référence support 64123
L'accumulation de requêtes ARP sans réponse pouvait entraîner la perte du premier paquet d'une communication entre deux hôtes appartenant aux réseaux du firewall. Cette anomalie qui était problématique pour certains outils de supervision a été corrigée.
Prévention d'intrusion
Antispam
Référence support 66530
La mise à jour "Active update" du moteur antispam est plus rapide et n'utilise plus de ressources CPU disproportionnées.
Protection applicative
Profils d'inspection
Référence support 64042
Lorsqu'un client du réseau interne du firewall ouvre une connexion vers un serveur sur internet et que la réponse du serveur génère une alarme, l'alarme ne bloque plus l'adresse IP du client, mais bien l'adresse IP du serveur.
Interface Web d'administration
Filtrage
Référence support 64008
Le compteur d'utilisation s'affiche désormais correctement pour toutes les règles de filtrage et de NAT.
Référence support 64943
Le copier-coller d'une règle de filtrage conserve bien désormais les informations de destination des traces Disque, Serveur syslog, et Collecteur IPFIX.
Référence support 66798
La bonne politique de filtrage est désormais affichée après sélection d'une politique globale.
Référence support 65057
Dans la page Politique de sécurité > Filtrage SMTP, il est désormais possible de saisir le caractère "?" dans le nom d'un expéditeur.
Objets
Référence support 66757
Il est à nouveau possible de créer un objet Temps de type Evénement ponctuel qui débute et se termine le même jour.
Rapports
Référence support 65958
Le menu Rapports > Analyse Sandboxing > Fichiers malveillants bloqués affiche désormais correctement le rapport sur les fichiers bloqués par le moteur d'analyse Sandboxing.
Utilisateurs
Référence support 65945
Si vous aviez un annuaire LDAP externe configuré dans le firewall, les utilisateurs dont les groupes comportaient des caractères spéciaux dans leurs attributs (DN, OU, etc.) n'étaient pas correctement pris en compte. Ce problème a été corrigé.
Référence support 66275
L'onglet Configuration > Utilisateurs > Authentification > Portail captif a été optimisé pour prendre en compte un grand nombre d'interfaces.
Interfaces réseau
Référence support 64870
La page Configuration > Réseau > Interfaces ne lance plus de commande liée au Wi-Fi sur un firewall sans Wi-Fi, et ne génère donc plus d'erreur inappropriée.
Protocoles
Référence support 66438
Dans le module Protocoles, le bouton permettant d'ajouter des services MS-RPC personnalisés est désormais fonctionnel.
Supervision
Référence support 65898
La colonne Débit moyen du menu Supervision > Supervision des connexions affiche maintenant une valeur correcte par rapport à l'unité indiquée(bits/seconde).
Référence support 66440
Dans la configuration de la supervision des interface, il n'est plus possible d'ajouter une interface déjà présente dans la liste, ce qui limite les erreurs.
Mot de passe du compte administrateur
Référence support 66384
Lorsque vous modifiez le mot de passe du compte administrateur, le nouveau mot de passe est désormais correctement interprété s'il contient des espaces.
Page de connexion
Référence support 66027
Le bouton d'aide de la page de connexion qui renvoyait vers une page inconnue a été supprimé.
Machines virtuelles
Plate-forme d'hébergement Microsoft Azure
Référence support 58722
Lors de l'initialisation d'une machine virtuelle sur la plate-forme Azure, le caractère "$" (dollar) dans le mot de passe administrateur n'était pas pris en compte. Le mot de passe administrateur du firewall restait alors "admin". Ce problème a été corrigé.
Matériel
Références support 65250 - 65820
Un nombre trop important d'informations système remontait sur le lien série, ce qui pouvait ralentir le firewall et empêcher l'administration via ce lien. Désormais, ces informations ne seront plus visibles par défaut sur le lien série mais uniquement via la commande ndmesg. Vous pouvez cependant modifier le paramètre KernelMsg dans la section [Console] du fichier de configuration ConfigFiles/system pour afficher à nouveau les informations.