Correctifs de SNS 4.8.7

Système

Proxy

Référence support 85644

Auparavant, un problème pouvait empêcher le nettoyage des connexions proxy et pouvait amener à une saturation de celles-ci. Désormais, lorsqu'une connexion du proxy se termine, elle est purgée automatiquement au bout de 10 secondes.

Proxy TLS

Référence support 85895 / 85961

La mise en cache des sessions dans le proxy TLS provoquait parfois des arrêts inopinés du proxy ou une consommation mémoire excessive. Ce problème a été corrigé.

VPN SSL Portail

Référence support 85899

Il est de nouveau possible d'accéder au portail VPN SSL lorsqu'un seul serveur est configuré. Cette régression était apparue en version SNS 4.8.0.

OpenVPN

Référence support 85690

Auparavant, lorsqu'OpenVPN cherchait un groupe d'autorités de certification (CA), il utilisait un chemin temporaire, ce qui pouvait provoquer une erreur au redémarrage. Il utilise désormais un chemin pérenne.

Référence support 85842

Auparavant, les fichiers temporaires contenus dans le dossier /var/tmp/Openvpn/ n'étaient pas supprimés, ce qui pouvait à terme empêcher d'établir des tunnels VPN, car le nombre maximum de fichiers dans un dossier était atteint. Désormais, les fichiers sont bien supprimés.

VPN IPsec

Référence support 85831

Désormais, la limite du nombre de tâches du moteur de gestion des tunnels VPN IPsec n'est valable que lorsque la protection contre les attaques par déni de service (DoS) est activée. De plus, le moteur n'a plus besoin d'être redémarré lorsque cette limite est atteinte.

Référence support 85717

Lorsque des tunnels VPN IPsec utilisant des interfaces virtuelles (VTI) étaient déployés via SMC, ils étaient négociés avant la fin du déploiement et n'étaient pas fonctionnels. Ce problème a été corrigé.

Certificats et PKI

Le firewall vérifie désormais correctement le contenu de l'extension basicConstraints du certificat d'une autorité de certification (CA).

Une option de configuration permet d'autoriser ou non l'import d'une CA pour laquelle cette extension n'a pas de valeur : il s'agit du jeton de configuration StrictCACheck, présent dans le fichier ConfigFiles > system. L'import d'une telle CA est autorisé lorsque la valeur 0 est affectée à ce jeton.

Longueur du complément d'alarme du log l_alarm

Référence support 85621

Désormais, le nombre de caractères maximum du complément d'alarme dans les logs l_alarm est de 512 caractères. Des points de suspension sont ajoutés à la fin du complément s'il est tronqué.

Serveur LDAPS

Référence support 85766

Vous pouvez désormais utiliser un objet machine global pour configurer un serveur LDAPS.

Port d'accès au serveur d'administration web du firewall

Référence support 85510

Désormais, lorsque vous modifiez le port d'accès au serveur d'administration web du firewall :

  • Pour un port inférieur à 1024 alors qu'il était auparavant supérieur à 1024,

  • Pour un port supérieur à 1024 alors qu'il était auparavant inférieur à 1024,

Le nouveau port configuré n'est pris en compte qu'après redémarrage du firewall. Un message dans le bandeau supérieur et sous forme de notification vous indique qu'un redémarrage est nécessaire pour appliquer la nouvelle configuration.

Bypass

Référence support 85358

L'interruption de connexion lors de la ré-alimentation d'un firewall avec le mode bypass activé dure à présent six secondes ou moins.

Filtrage et NAT

Référence support 85713

Auparavant, certaines politiques de filtrage fonctionnelles en versions SNS 3.11 ne se chargeaient plus en version SNS 4.8, ce qui bloquait les flux transitant par le firewall. Désormais, la politique de filtrage se charge, mais un message d'avertissement s'affiche dans le validateur de configuration du module Configuration > Politique de sécurité > Filtrage et NAT.

Référence support 85677

Lorsqu'IPv6 est activé, une erreur dans le mécanisme d'optimisation des règles de filtrage pouvait rendre certaines règles de filtrage inopérantes. Ce problème a été corrigé.

PKI

Référence support 85798

Le DN d'un certificat créé avec la commande PKI EST QUERY et le DN d'un certificat créé avec les commandes PKI CERTIFICATE CREATE, PKI REQUEST CREATE et PKI CA CREATE sont désormais encodés avec le même encodage, ce qui améliore la compatibilité avec les caractères spéciaux ou les logiciels PKI tiers.

Serveur de sauvegarde

Référence support 86010

Le nom de l'objet utilisé comme serveur de sauvegarde peut désormais compter jusqu'à 255 caractères.

Haute Disponibilité (HA)

Référence support 85781 / 85949

Désormais, l'utilisation de l'interface d'administration d'un firewall dans un cluster en Haute Disponibilité ne déclenche plus le clignotement intempestif de l'icône de synchronisation de configuration. Cette régression était apparue en version SNS 4.8.1.

Haute disponibilité - Optimisation du basculement

Référence support 85773

Désormais, lorsque la case Redémarrer toutes les interfaces pendant le basculement (à l'exception des interfaces HA) est cochée, seules les interfaces contenues dans un bridge redémarrent.

TPM

Référence support 85600

Désormais, un firewall avec le TPM activé et administré par SMC ne perd plus la communication avec SMC lorsqu'un package de rattachement est réimporté.

Indicateur de santé TPM

Référence support 86012

L'indicateur de santé TPM est de nouveau fonctionnel. Cette régression était apparue en version SNS 4.8.5.

Fuite mémoire

Référence support 86009

Pour les firewalls administrés par SMC, un problème de fuite mémoire a été corrigé. Cette régression était apparue en version SNS 4.8.4.

Routage multicast

Référence support 85614

Auparavant, un firewall qui recevait un flux multicast d'un routeur PIM utilisé en RP et qui perdait la connexion avec ce routeur ne transmettait plus le flux après avoir été reconnecté au routeur. Ce problème a été résolu.

Machines virtuelles Pay As You Go (PAYG)

Référence support 85987

Depuis la version SNS 4.8.0, une machine virtuelle PAYG dont la licence était expirée ne pouvait plus établir plus de 1000 connexions même après le renouvellement de sa licence. Ce problème a été corrigé.

Moteur de prévention d'intrusion

Liste noire

Référence support 85782

Désormais, le nombre limite d'adresses IP en liste noire est respecté et ne peut plus être dépassé.

Connexions IPS

Référence support 85716 / 85718

En cas d'utilisation d'un ou plusieurs sous-réseaux, le moteur de prévention d'intrusion n'empêche plus les connexions IPS lorsque l'alarme protocolaire "Paquet avec destination sur la même interface" (ip:95) est en Autoriser.

Protocole DCERPC

Référence support 85661

Auparavant, lorsque des connexions enclenchées avec le protocole DCERPC échouaient, le moteur de prévention d'intrusion ne libérait pas correctement les ports. Ce problème a été corrigé.

Hôtes

Auparavant, la limite des hôtes réservés et des hôtes de manière générale était la même, ce qui pouvait impacter les performances du firewall. Ce problème a été corrigé.

Mode broadcast

Référence support 85763

La gestion des paquets fragmentés transmis sur un bridge mode broadcast a été améliorée afin qu'il n'y ait plus de blocage.

Interface Web d'administration

Profils d'inspection

Vous pouvez désormais de nouveau renommer, copier et éditer les profils d'inspection dans l'onglet Configuration générale du module Configuration > Protection applicative > Profils d'inspection.

De plus, un onglet Profils permet de visualiser les profils et les protocoles qui leur sont associés.

Protocoles - Filtrage dans l'onglet Analyse Sandboxing

La fonction de filtrage dans l'onglet Analyse Sandboxing des protocoles HTTP / SMTP / POP3 et IMAP et dans la grille des autorités de certification du protocole SSL est de nouveau fonctionnelle. Cette régression était apparue en version SNS 4.8.0.

Trafic réseau

Référence support 85937

Il est de nouveau possible de mettre une adresse IP en liste noire en faisant un clic-droit dessus dans le module Monitoring > Trafic réseau.

Impression des informations d'un compte temporaire

Référence support 85946 / 85962

Le contenu de la page d'impression des informations d'un compte temporaire est de nouveau lisible. Cette régression était apparue en version SNS 4.8.0.

VPN SSL Portail

Référence support 85920

Désormais, lorsque l'option Uniquement l’accès aux serveurs applicatifs du module Configuration > VPN > VPN SSL Portail est cochée, le VPN SSL reste activé. Cette régression était apparue en version SNS 4.8.0.

Interface DHCP en statique

Référence support 85534

Il est désormais impossible de passer une interface DHCP en statique alors qu'un objet nom DNS ou Firewall_ifname_router associé est utilisé dans une règle de filtrage ou de NAT, car cela avait pour conséquence d'empêcher le firewall de charger une politique de filtrage ou de NAT.