Correctifs de SNS 4.3.35 LTSB

Système

Proxy TLS

Référence support 85895 / 85961

La mise en cache des sessions dans le proxy TLS provoquait parfois des arrêts inopinés du proxy ou une consommation mémoire excessive. Ce problème a été corrigé.

VPN IPsec

Référence support 85831

Désormais, la limite du nombre de tâches du moteur de gestion des tunnels VPN IPsec n'est valable que lorsque la protection contre les attaques par déni de service (DoS) est activée. De plus, le moteur n'a plus besoin d'être redémarré lorsque cette limite est atteinte.

Référence support 85717

Lorsque des tunnels VPN IPsec utilisant des interfaces virtuelles (VTI) étaient déployés via SMC, ils étaient négociés avant la fin du déploiement et n'étaient pas fonctionnels. Ce problème a été corrigé.

OpenVPN

Référence support 85704

Il est de nouveau possible d'établir des tunnels VPN avec OpenVPN version 2.6.8 et supérieure (client VPN SSL Stormshield version 4.0.0 et supérieure). L'algorithme de chiffrement est AES-256-GCM ou AES-128-GCM et non celui du client OpenVPN.

Longueur du complément d'alarme du log l_alarm

Référence support 85621

Désormais, le nombre de caractères maximum du complément d'alarme dans les logs l_alarm est de 512 caractères. Des points de suspension sont ajoutés à la fin du complément s'il est tronqué.

Serveur LDAPS

Référence support 85766

Il est désormais possible d'utiliser un objet machine global pour configurer un serveur LDAPS.

Certificats et PKI

Référence support 85968

Désormais, si une CA a une seule sous-CA avec un seul certificat et que les deux ont des CRLDP, la commande CLI / Serverd SYSTEM CHECKCRL peut récupérer la CRL de la sous-CA.

Bypass

Référence support 85358

L'interruption de connexion lors de la ré-alimentation d'un firewall avec le mode bypass activé dure à présent six secondes ou moins.

Filtrage et NAT

Référence support 82534

Une anomalie dans l'export CSV des règles de NAT a été corrigée : cet export prend désormais en compte le contenu de la colonne Protocole.

Référence support 85713

Auparavant, certaines politiques de filtrage fonctionnelles en versions SNS 3.11 ne se chargeaient plus en version SNS 4.3, ce qui bloquait les flux transitant par le firewall. Désormais, la politique de filtrage se charge, mais un message d'avertissement s'affiche dans le validateur de configuration du module Configuration > Politique de sécurité > Filtrage et NAT.

Référence support 85677

Lorsqu'IPv6 est activé, une erreur dans le mécanisme d'optimisation des règles de filtrage pouvait rendre certaines règles de filtrage inopérantes. Ce problème a été corrigé.

Logs

Référence support 84831 / 85632

L'indisponibilité du moteur de gestion des logs n'entraîne plus à tort un blocage temporaire du moteur de prévention d'intrusion.

Collecteur IPFIX - Logs des connexions réseau

Référence support 85054

Les logs des connexions réseau sont désormais envoyés au collecteur IPFIX lorsqu'ils sont issus d'une règle de la politique de filtrage possédant le niveau d'inspection Firewall.

PKI

Référence support 85798

Auparavant, le DN d'un certificat créé avec la commande PKI EST QUERY et le DN d'un certificat créé avec les commandes PKI CERTIFICATE CREATE, PKI REQUEST CREATE et PKI CA CREATE n'étaient pas encodés avec le même encodage, ce qui provoquait des problèmes de compatibilité avec les caractères spéciaux ou les logiciels PKI tiers. Ce problème a été résolu.

Serveur de sauvegarde

Référence support 86010

Le nom de l'objet utilisé comme serveur de sauvegarde peut désormais compter jusqu'à 255 caractères.

Moteur de prévention d'intrusion

Liste noire

Référence support 85782

Désormais, le nombre limite d'adresses IP en liste noire est respecté et ne peut plus être dépassé.

Connexions IPS

Référence support 85716 / 85718

En cas d'utilisation d'un ou plusieurs sous-réseaux, le moteur de prévention d'intrusion n'empêche plus les connexions IPS lorsque l'alarme protocolaire "Paquet avec destination sur la même interface" (ip:95) est en Autoriser.

Protocole DCERPC

Référence support 85661

Auparavant, lorsque des connexions enclenchées avec le protocole DCERPC échouaient, le moteur de prévention d'intrusion ne libérait pas correctement les ports. Ce problème a été corrigé.

Hôtes

Auparavant, la limite des hôtes réservés et des hôtes de manière générale était la même, ce qui pouvait impacter les performances du firewall. Ce problème a été corrigé.

Interface Web d'administration

Interface DHCP en statique

Référence support 85534

Il est désormais impossible de passer une interface DHCP en statique alors qu'un objet nom DNS ou Firewall_ifname_router associé est utilisé dans une règle de filtrage ou de NAT, car cela avait pour conséquence d'empêcher le firewall de charger une politique de filtrage ou de NAT.