IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.7.12 LTSB
Système
VPN IPsec (IKEV1 + IKEv2)
Référence support 74425
Un paramètre pouvait empêcher le mode ResponderOnly de fonctionner correctement lorsque le mécanisme de Dead-Peer-Detection (DPD) s'activait. Cette anomalie a été corrigée.
VPN IPsec (IKEv1)
Référence support 75824
Lors du basculement d’un correspondant distant vers son correspondant de secours (désigné en tant que "Configuration de secours"), un redémarrage inopiné du démon IKE pouvait survenir entraînant ainsi la fermeture des tunnels IPsec ouverts. Cette anomalie a été corrigée.
GRETAP et IPsec
Référence support 76066
Dans une configuration comportant une interface GRETAP dialoguant au travers d'un tunnel IPsec, la commande système ennetwork -f ne provoque plus un redémarrage en boucle du firewall.
VPN SSL
Un nouveau certificat permettant de signer les fichiers compilés Java (.jar) a été installé, remplaçant l'ancien certificat qui allait expirer prochainement (24/05/2020).
SNMP
Référence support 71584
L'utilisation de la valeur snmpEngineBoots a été modifiée afin de se conformer à la RFC 3414.
Proxy
Références support 70721 - 74009 - 74552 - 76041 - 76767
La consommation de la mémoire en cas d'utilisation du proxy a été optimisée.
Proxy - Filtrage d'URL
Référence support 73516
Le proxy HTTP/HTTPS pouvait perdre la connexion avec le moteur de filtrage d'URL de la solution Extended Web Control, provoquant l'affichage de la page d'information URL filtering is pending aux clients dont les connexions utilisaient le proxy. Cette anomalie a été corrigée.
Portail captif - Parrainage
Référence support 67894
Lorsque la méthode d'authentification par parrainage était configurée pour afficher une page d'avertissement (disclaimer), cette page n'était pas affichée à la demande de parrainage et le demandeur ne la voyait donc jamais. Cette anomalie a été corrigée et la page d'avertissement est affichée dès la demande de parrainage.
Comportement en cas de saturation du service de gestion des logs
Références support 73078 - 76030
Dans le cas où le service de gestion des logs du firewall est saturé, il est désormais possible de définir pour les paquets générant une alarme et ceux traversant une règle de filtrage configurée pour tracer un événement la manière dont le firewall les gère :
- Bloquer les paquets concernés puisque le firewall n'est plus en mesure de tracer ces événements,
- Ne pas bloquer les paquets concernés et appliquer la configuration de la politique de sécurité même si le firewall n'est plus en mesure de tracer ces événements.
Ce comportement du moteur de prévention d'intrusion peut être configuré depuis l'interface d'administration du firewall dans le module Configuration > Protection applicative > Profils d'inspection.
Il est également possible de définir un seuil en pourcentage à partir duquel le firewall considère que son service de gestion des logs est saturé. Une fois atteint, le firewall applique le comportement défini concernant les paquets dont un log devait être conservé.
Le seuil peut être modifié uniquement à l'aide des commandes CLI / Serverd suivantes :
CONFIG SECURITYINSPECTION COMMON LOGALARM BlockOverflow=<0|1> BlockDrop=<0-100>
CONFIG SECURITYINSPECTION COMMON LOGFILTER BlockOverflow=<0|1> BlockDrop=<0-100>
Pour plus d'informations concernant la syntaxe de ces commandes, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
Temps d'arrêt (shutdown) d'un démon
Référence support 74990
Dans des cas rares, un démon pouvait être arrêté (shutdown) après un certain temps, bloquant alors le processus de mise à jour du firewall. Ce temps a été réduit pour permettre la bonne exécution de la mise à jour du firewall.
Réseau
VLAN rattaché à une interface GRETAP
Références support 72961 - 76122
Un VLAN rattaché à une interface GRETAP voyait son MTU positionné sur une valeur erronée après un redémarrage du firewall. Cette anomalie a été corrigée.
Matériel
Firewalls avec carte IXL
Référence support 74175
Sur les firewalls disposant d'une carte IXL :
- Modules d'extension réseau 4x10Gbps et 2x40Gbps fibre pour SN2100, SN3100 et SN6100,
- Modules 4x10G BASE-T pour SN710, SN910, SN2000, SN2100, SN3000, SN3100, et SN6100,
- Ports onboard 10Gbps fibre du SN6100.
Le lien réseau n'était pas détecté pour les interfaces concernées. Ce problème a été résolu par une mise à jour du pilote de la carte IXL.
Interface Web d'administration
Sauvegardes automatiques - Cloud Backup
Référence support 73218
La restauration d'une sauvegarde de configuration depuis Cloud Backup ne fonctionnait plus depuis la version 3.5.0. Cette anomalie a été corrigée.
Prévention d'intrusion
Protocole DNS
Références support 72754 - 74272
L'analyse du protocole DNS a été modifiée afin de réduire le taux de faux positifs de l'alarme "DNS id spoofing" (alarme dns:38).