IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.7.6 LTSB
Système
Haute Disponibilité - Firewalls avec carte IXL
Pour les firewalls disposant d'une carte IXL :
- Modules d'extension réseau 4x10Gbps et 2x40Gbps fibre pour SN2100, SN3100 et SN6100,
- Modules 4x10G BASE-T pour SN710, SN910, SN2000, SN2100, SN3000, SN3100, et SN6100,
- Ports onboard 10Gbps fibre du SN6100.
Lors de la perte du nœud actif dans un cluster de firewalls avec carte IXL, la reprise par l'autre nœud est désormais immédiate. De plus, après le basculement, le flux n'est plus redirigé régulièrement vers le firewall passif.
Firewalls avec carte IXL
Référence support 71576
Le problème de contrôle de flux qui pouvait provoquer un arrêt de trafic sur les firewalls avec carte IXL a été corrigé.
Référence support 73005
Un problème de latence pouvant impacter les firewalls connectés à l'aide d'une carte IXL sur des équipements tiers a été corrigé.
VPN IPsec (IKEv1 + IKEv2)
Référence support 73584
Dans une configuration utilisant à la fois des correspondants IKEv1 et IKEv2, l'utilisation des champs UID (LDAP) et CertNID pour l'authentification est prise en compte et les contrôles de droits des utilisateurs à établir un tunnel IPsec ne sont ainsi plus ignorés.
Référence support 72290
Sur un firewall regroupant des correspondants IKEv1 et IKEv2, les groupes d'un utilisateur établissant un tunnel nomade IKEv1 avec authentification via certificat et XAUTH sont à nouveau pris en compte.
Commandes CLI
Référence support 72020
Les fichiers temporaires créés lors de la mise à jour d'une PKI via la commande CLI PKI IMPORT sont désormais correctement supprimés.
PKI
La date de validité de l'autorité de certification racine embarquée sur les firewalls a été prolongée jusqu'au 1er janvier 2038.
VPN IPsec
Référence support 71858
Dans une configuration IPsec où l'une des extrémités de tunnel proposait les algorithmes de chiffrement de phase 2 AES et AES_GCM_16, et l'autre extrémité le seul algorithme AES_GCM_16, le tunnel ne pouvait pas être négocié. Ce problème a été corrigé.
Objets routeur
Référence support 71502
Une anomalie dans le mécanisme de supervision des passerelles survenant lorsque une passerelle passait d'un état interne « à priori non joignable » (un test de disponibilité échoué) à l’état interne « joignable » a été corrigée.
SNMP
Référence support 72116
Les informations de bande passante concernant les interfaces 10 Gigabit/s n'étaient pas correctement retournées dans les OID ifSpeed et ifHighSpeed. Cette anomalie a été corrigée.
Interfaces GRETAP
Référence support 69981
Dans une configuration mettant en œuvre un tunnel GRETAP respectant les conditions suivantes :
- L’une des extrémités du tunnel est un firewall modèle SN310,
- Un VLAN est attaché aux interfaces GRETAP portant le tunnel,
- L’interface GRETAP est membre d’un bridge,
- L’option Préserver les identifiants de VLAN est activée sur toutes les interfaces appartenant à ce bridge.
Alors, sur le firewall modèle SN310, le trafic en sortie de l’interface physique était corrompu (paquet de contrôle nul) et rejeté par le firewall distant. Ce problème a été corrigé.
VPN SSL
Référence support 66481
Une anomalie dans la gestion du compteur d'utilisateurs connectés via VPN SSL pouvait aboutir à tort à la limite de connexions autorisées. Il était alors impossible d'établir de nouveaux tunnels légitimes. Cette anomalie a été corrigée.
Supervision de la HA
Référence support 73615
Un problème de fuite mémoire potentielle dans le module de supervision de la HA a été corrigé.
Réseau
Firewalls avec carte IXL
Référence support 72957
Pour éviter certains problèmes de négociation liés à la détection automatique de vitesse du média, les valeurs disponibles pour les cartes réseau IXL peuvent désormais être sélectionnées dans le module Réseau > Interfaces.
Wi-Fi
Référence support 71139
Les modèles de firewalls Wi-Fi ne se bloquent plus aléatoirement lorsque le réseau Wi-Fi est activé.
Envoi massif de requêtes vers des adresses IP externes
Référence support 72329
Une machine infectée derrière une interface protégée ne provoque plus de baisse significative de performances ou d'arrêt inopiné du firewall lorsqu'elle lance une attaque de type "SYN flood" vers une multitude d'adresses IP externes.
Configuration initiale par clé USB
Référence support 73982
La mise à jour de firmware via clé USB ne fonctionnait pas sur les firewalls dont la version initiale de firmware différait de la structure x.y.z (exemple : 3.7.5-). Ce problème a été corrigé.
Prévention d'intrusion
Référence support 73591
L'activation du mode verbeux du moteur de prévention d'intrusion associée à l'analyse de certains protocoles (DCE RPC, Oracle...) n'entraîne plus de potentiels redémarrages inopinés du firewall.
Protocole DNS
Référence support 71391
Sur un firewall utilisant uniquement IPv4, le moteur d'analyse du protocole DNS ajoutait inutilement des adresses IPv6 dans la table des hôtes. Ceci pouvait entraîner la saturation de cette table sur les petits modèles de firewalls. Ce problème a été corrigé.