Post on 20-Jun-2022
Page 1 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Version
8.1.0 Fonctionnalités Vulnérabilités résolues Correctifs
8.1.1 Fonctionnalités Vulnérabilités résolues Correctifs
8.1.2 Fonctionnalités Vulnérabilités résolues Correctifs
8.1.3 Fonctionnalités Vulnérabilités résolues Correctifs
8.1.4 Fonctionnalités Vulnérabilités résolues Correctifs
8.1.5 Fonctionnalités Vulnérabilités résolues Correctifs
8.1.5.1 Correctifs
8.1.5.2 Fonctionnalités Correctifs
8.1.6 Vulnérabilités résolues Correctifs
8.1.7 Fonctionnalités Vulnérabilités résolues Correctifs Problèmes connus
NETASQ Firewall – UTM Version 8.1.7
Points principaux
Appliance virtuelle
Compatibilité logicielle
Version minimale requise : 7.0.0 H.A version minimale requise : 7.0.0
Niveau de modification
Politique de filtrage Aucune Proxy Aucune
VPN SSL Aucune Haute disponibilité Aucune
Administration Suite Mineure Système d’exploitation Majeure
ASQ Aucune Moniteur temps réel Majeure
U30 U1100
U70 U1500
U120 U6000
U250 NG1000-A
U450 NG5000-A
Contenu
Moniteur temps réel
Compatibilité matérielle
V50 VS5
V100 VS10
V200 VU
V500
Appliances virtuelles
Page 2 sur 32
Copyright NETASQ 2012
RELEASE NOTE
88..11..00 FFoonnccttiioonnnnaalliittééss
SSyyssttèèmmee
Virtualisation
Le système logiciel des produits NETASQ a évolué afin de gérer la nouvelle gamme d’équipements
virtuels (NETASQ Virtual Appliance).
Nouveaux équipements
Le système logiciel des produits NETASQ a été modifié pour intégrer les nouveaux équipements de la
gamme NETASQ : NG1000-A et NG5000-A.
VVPPNN IIPPSSEECC
Protocole IKE
Le module gérant le protocole IKE a été mis à jour. Ipsec-tools est maintenant en version 0.7.3
NNEETTAASSQQ RREEAALL--TTIIMMEE MMOONNIITTOORR
Panneau des alarmes
Plusieurs améliorations ont été apportées au panneau listant les alarmes d’un équipement.
Le panneau Alarmes se nomme maintenant Evénements.
Le panneau Evénements affiche maintenant des informations de différents types : alarm,
web, virus, mail, FTP, filter et connection.
L’affichage par défaut des colonnes a été modifié.
Le nombre de colonnes présentes a augmenté.
Une nouvelle colonne « détail » permet d’afficher des informations pertinentes quelque soit
le fichier de trace source.
Une liste déroulante permet de choisir un filtre prédéfini sur les informations présentées :
Filtrage sur les événements alarmes
Filtrage des informations concernant les virus
Filtrage sur les événements de connexions
Filtrage sur les événements web
Filtrage sur les événements mail
Filtrage sur les événements FTP
Filtrage sur les événements de filtrage
L’agrégation de différents types d’information permet d’avoir une vue synthétique des événements
importants. L’utilisation de filtres prédéfinis assure une réelle aide dans la supervision de la politique de
sécurité.
Fonction de filtre
Une fonction de filtre avancée est disponible sur la plupart des tableaux de l’application NETASQ Real-
Time Monitor. Ainsi, les informations peuvent être filtrées sur une ou plusieurs colonnes en utilisant les
opérateurs suivants :
Est égale à
Contient
Page 3 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Commence par
Se termine par
Utilisation de caractère de joker ( ?, *, […])
Expression régulière
Utilisation d’un opérateur de négation
Une fois qu’un filtre est appliqué sur une colonne, une icône spécifique apparaît.
Rafraichissement des informations
La fréquence de rafraichissement des informations a été modifiée. Il est maintenant possible de configurer
la valeur de rafraichissement à 1 seconde pour obtenir des informations en temps réel.
88..11..00 VVuullnnéérraabbiilliittééss rrééssoolluueess
NNSS--BBSSDD
Le paramètre security.bsd.map_at_zero de sysctl a été désactivé afin de suivre la recommandation
FreeBSD-EN-09:05.null.
NNEETTAASSQQ EEVVEENNTT RREEPPOORRTTEERR
Le produit NETASQ EVENT REPORTER a été modifié afin de proposer une nouvelle version de la base
de données. La version 8.3.9 de PostGreSQL inclut la correction des vulnérabilités suivantes :
Erreur dans la gestion du caractère ‘/0’ du champ « nom de domaine » qui pouvait aboutir
à une attaque de type man-in-the-middle pour usurper une session SSL du serveur de base
de données (CVE-2009-4034).
Possibilité d’obtenir plus de privilège avec un login valide (CVE-2009-4136)
88..11..00 CCoorrrreeccttiiffss
MMootteeuurr AASSQQ
Protocole TCP : Réémission de SYN
Référence support : 20989
La retransmission de paquets SYN n’est plus bloquée une fois l’échange SYN/ACK effectué.
Plugin HTTP : champ « Proxy-Connection : keep-alive »
Référence support : 18836
Le champ d’en-tête « Proxy-Connection : keep-alive » du protocole HTTP/1.0 est maintenant géré.
Plugin HTTP : champ « Content-Length »
Référence support : 20058
Les valeurs de « Content-Length » supérieures à 4Go (entier de 32 bits) sont maintenant correctement
gérées.
Page 4 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Plugin HTTP : requête POST tronquée
Référence support : 20193
Le support du transfert de requête POST tronqué a été ajouté.
Saturation par paquets SYN (SYN flooding)
La protection contre l’inondation de paquets SYN sur les réseaux internes a été améliorée. Le moteur ASQ
réinitialise les tentatives de connexions vers les serveurs du réseau protégé en fonction de la valeur du
paramètre « SYN timeout ». Ceci permet aux serveurs de libérer plus rapidement leurs ressources.
Plugin SSL
Le plugin SSL a été amélioré afin de mieux gérer les messages « TLS hello » transmis par un client
utilisant une version TLS supérieure à celle du serveur. Ceci permet de supporter notamment les
négociations HTTPS de l’application Opera 10.50.
PPrrooxxyy
Proxy HTTP : champ « Content-Length »
Référence support : 20058
Les valeurs de « Content-Length » supérieures à 4Go (entier de 32 bits) sont maintenant correctement
gérées.
Proxy HTTP explicite
Le proxy ne s’arrêtera plus sur détection d’un caractère nul dans un en-tête. Une page d’erreur sera
présentée à l’utilisateur final.
Fuite mémoire
Plusieurs fuites mémoire concernant les proxies et le module PKI ont été corrigées.
VVPPNN SSSSLL
Paramètres de proxy Java
Référence support : 19649
L’applet Java prend maintenant en compte les paramètres de proxy Java.
Profils utilisateurs
Référence support : 19864
Lors d’une authentification d’utilisateur, si le profil VPN SSL de l’utilisateur est inconnu, il sera chargé
dynamiquement (cas de la création d’un nouvel utilisateur ou d’un nouveau profil sur un LDAP externe).
Accès complet
Référence support : 21824
Le support des guillemets dans les commandes à exécuter lors des connexions est maintenant
correctement assuré.
Page 5 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Amélioration de compatibilité
La compatibilité pour accéder au site Google au travers du VPN SSL est améliorée.
PPKKII
Enrôlement
Le choix du niveau de chiffrement du portail n’était pas correctement affiché par Internet Explorer 8 sous
Windows Vista. Cette anomalie est corrigée.
SSyyssttèèmmee
Module SNMP : fuite mémoire
Référence support : 20335
Le module net-snmp a été mis à jour en version 5.4.2.1. Cette version corrige un problème de fuite
mémoire dans le démon snmpd.
Active Update
Référence support : 20887
Le message « Master updates are scheduled the (…) of each month, today is the (…) => WON’T do
master update today » ne sera plus affiché lors de l’exécution de la commande autoupdate avec l’option
de forçage -f.
Connexion serverd
Référence support : 20729
La taille maximum du champ DN (Distinguished name) pour les commandes « USER * » a été augmentée
de 128 à 1024 octets.
Haute disponibilité
Afin de prévenir un changement inopiné d’équipement, le calcul de qualité des interfaces n’est plus
effectué lors de la commande d’activation réseau « ennetwork ».
NNEETTAASSQQ UUNNIIFFIIEEDD MMAANNAAGGEERR
Gestion de la haute disponibilité
Référence support : 18145
La sauvegarde sur la partition de backup est maintenant systématiquement réalisée sur l’équipement actif
du cluster. L’équipement ciblé par la commande de sauvegarde système ne dépend plus de la valeur du
paramètre « passive update ».
Plugin HTTP
La taille maximum du tampon pour la gestion des Cookies a été augmentée de 4096 à 65 536 octets.
Page 6 sur 32
Copyright NETASQ 2012
RELEASE NOTE
PKI / LDAP
Le démarrage de l’assistant de configuration LDAP depuis l’écran PKI après avoir été déconnecté causait
un crash de l’application. Cette anomalie est corrigée.
NNEETTAASSQQ EEVVEENNTT RREEPPOORRTTEERR
Migration du module Collector
Référence support : 17956
Un message d’avertissement a été ajouté lors de la migration de la version 7 à la version 8 du module
Collector. Ce message informe que les anciens logs ne seront pas automatiquement migrés. Pour
effectuer la migration, les logs devront être exportés en version 7 puis importés en version 8.
88..11..11 FFoonnccttiioonnnnaalliittééss
PPrréévveennttiioonn dd’’iinnttrruussiioonn ((AASSQQ))
Analyse SMB/SMB2
Les analyses des protocoles Microsoft NB-CIFS et NB-SSN ont été améliorées pour bloquer
l’exploitation des vulnérabilités suivantes :
CVE-2010-0270: débordement de la taille mémoire (« buffer overflow ») sur le protocole SMB avec
possibilité d'exploitation à distance pour Windows 7 et Windows 2008 R2.
CVE-2010-0476: déni de service possible sur le protocole SMB affectant Windows 2003 SP2,
Windows Vista Gold, Windows Server 2008 Gold et SP2.
CVE-2010-0269: débordement de la taille mémoire (« buffer overflow ») sur le protocole SMB
avec possibilité d'exploitation à distance de Windows 2000 SP4, Windows XP SP2 et SP3,
Windows Server 2003 SP2, Windows Vista Gold, SP1, SP2 et, Windows Server 2008 Gold, SP2
et R2 et Windows 7.
CVE-2010-0477: exécution à distance du code arbitraire sur le protocole SMB2, affectant
Windows Server 2008 R2 et Windows 7.
Pour ces protections, l'alarme « Protocole NBSS/SMB/SMB2 invalide » (id 157) a été divisée en
deux :
- « Protocole NBSS/SMB2 invalide » (id 157) : est remontée sur détection de plusieurs
types de paquets NBSS/SMB2 mal formés.
- « Protocole NBSS/SMB invalide » (id 158) : est remontée sur détection de plusieurs
types de paquets NBSS/SMB mal formés.
Ces alarmes sont de type « sensible ». Configurées en mode « Passer », leur détection
implique le détachement de l’analyse associée. Elles sont configurées par défaut en mode
« Bloquer, Mineure ».
Page 7 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Analyse DNS
L’analyse du protocole DNS a été améliorée pour bloquer avec l’alarme « Protocole DNS invalide » (id 88), les tentatives d’exploitation de la vulnérabilité suivante :
CVE-2010-0024: déni de service sur l'analyse MX affectant Microsoft Windows 2000 SP4,
XP SP2 et SP3, Server 2003 SP2, Server 2008 Gold, SP2 et R2, et Exchange Server 2003
SP2.
88..11..11 VVuullnnéérraabbiilliittééss rrééssoolluueess
CCllaammAAVV Référence support : 22489
Correction d’une vulnérabilité de déni de service via un fichier PDF spécialement forgé. (CVE-2010- 1639).
PPoossttggrreeSSQQLL
PostgreSQL a été mis à jour en 8.3.11. Cette version corrige les vulnérabilités suivantes :
• CVE-2010-0442 (corrigée en 8.3.10)
• CVE-2010-1169
• CVE-2010-1170
88..11..11 CCoorrrreeccttiiffss
AASSQQ
Valeurs limites du profile 00
Référence support : 22930
Les valeurs limites définies dans ConfigFileS/ASQ/00 (règles de filtrage, hôtes, utilisateurs et taille de la
file d’attente maximums) sont de nouveau appliquées.
Analyse SMB2 Un faux positif a été corrigé dans l’analyse du protocole SMB2.
SSEEIISSMMOO
Encodage des caractères L’encodage des caractères accentués dans les messages SEISMO a été réparé.
VVPPNN IIPPSSEECC
NAT Traversal (NAT-T)
Référence support : 21483
Amélioration de la stabilité des configurations IPSEC utilisant le NAT-T.
Page 8 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Fuite mémoire Référence support : 21936
Une fuite de mémoire a été corrigée. Elle pouvait altérer les performances sur certaines configurations
utilisant beaucoup de correspondants IPSEC anonymes.
VPN SSL
Réécriture Référence support : 21808
La réécriture du Javascript et du HTML par le VPN SSL a été améliorée.
Proxy
Proxy HTTP : champ « Content-Length » Référence support : 22375
Les tabulations ou espaces après la valeur « Content-Length » ne sont plus bloqués par le proxy HTTP.
Proxy SMTP et Antivirus Référence support : 21163
Certains e-mails conséquents étaient parfois dupliqués lorsqu’ils étaient transmis au serveur via le proxy.
SSyyssttèèmmee
Haute disponibilité Référence support : 22293
Un problème de redémarrage du démon hardwared qui pouvait apparaître en cas d’utilisation du watchdog
a été corrigé.
MTU de VLAN Référence support : 22572
Modèles U70, U120, U250 et U450 : pour configurer la MTU d’un VLAN à 1500, il n’est plus nécessaire
d’augmenter la MTU de l’interface parent au-delà de 1500.
LDAP Externe Référence support : 21870
Le support des espaces dans les « Distinguished Name » (DN) a été amélioré.
Authentification Référence support : 22424
Un message plus explicite s’affiche maintenant sur le portail d’authentification lorsque le mot de passe
Kerberos est expiré.
Serveur DHCP Référence support : 22520
L’activation du serveur n’échoue plus si une erreur survient sur une seule machine (exemple : adresse
MAC supprimée). L’erreur sera ignorée pour éviter que le service DHCP soit stoppé pour d’autres
équipements.
Page 9 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Syslog Référence support : 22520
La taille des logs envoyés par Syslog a été limitée pour éviter de dépasser 1024 octets (limite imposée par
la RFC 3195). Les logs concernés sont :
-- Les logs d’alarmes :: Le contenu du paquet ne sera plus envoyé s’il fait dépasser la limite.
- Les logs web : Si le champ arg (contenant l’URL) met trop de temps à transmettre le log,
l’URL est tronquée (512 octets).
NG1000-A, NG5000-A
La restauration d’une configuration d’un modèle U ou F sur un modèle NG prend désormais en compte les
ports d’administration de ces derniers. Leur disponibilité est conservée après la restauration.
L’assistant gère désormais correctement les ports d’administration.
MMoonniitteeuurr tteemmppss rrééeell
Tableau de bord
Référence support : 22250
Un problème d'affichage des graphiques de consommation CPU sur le tableau de bord a été corrigé.
Evénements Référence support : 22331
Les événements VPN et Système ne sont plus dupliqués lors de l’actualisation.
88..11..11..11 VVuullnnéérraabbiilliittééss rrééssoolluueess
SSyyssttèèmmee
Référence support : 23407
Le module de gestion des requêtes ARP a été mis à jour pour corriger une vulnérabilité. Dans certaines
configurations, forcer l’équipement NETASQ à émettre un grand nombre de requêtes ARP sans réponse
pouvait causer un déni de service.
88..11..11..11 CCoorrrreeccttiiffss
SSyyssttèèmmee
Connexion serverd
Référence support : 23473
Le suivi de statut des commandes Active Update pouvait figer l’application NETASQ REAL-TIME
MONITOR. Cette anomalie a été corrigée.
Page 10 sur 32
Copyright NETASQ 2012
RELEASE NOTE
88..11..22 FFoonnccttiioonnnnaalliittééss
MMootteeuurr AASSQQ
Plugin HTTP et DNS
Afin de créer des protections plus efficaces et plus précises, 3 nouveaux contextes de signatures ont été
créés :
- http:client:useragent
- http:client:cookie
- tcpudp:hostname
Note importante
Certaines signatures du contexte http:client:header ont été déplacées vers les nouveaux contextes
mentionnés ci-dessus. De plus, certaines nouvelles protections ne seront disponibles que pour ces
contextes.
Contexte « hostname »
Le contexte « tcpudp:hostname » s’applique aux champs hostname des requêtes HTTP et DNS. Il intègre
de nombreuses signatures qui permettent d’identifier différents sites web. Ainsi, un site hostile sera bloqué
tant sur la requête DNS que sur la requête HTTP. Ce fonctionnement optimise notamment les
performances car il évite une requête HTTP inutile en interdisant la résolution DNS vers un site malveillant.
Configuration d’alarmes
L’alarme protocolaire "Paquet avec destination sur la même interface" (identifiant 95) est maintenant une
alarme "Sensible", il est donc possible de la configurer à l’état "Passer". Cette configuration autorise
l’échange de paquets entre 2 machines connectées sur la même interface et dans le même réseau que le
firewall sans configurer de règle "Bypass".
SSyyssttèèmmee
Interface de gestion
Référence support : 22647 et 23729
Les connexions d’administration sont maintenant autorisées sur l’interface « out » (port 1) en configuration
par défaut via une règle explicite. Ainsi, la politique de filtrage activé par défaut (01 – « Block all ») autorise
les connexions d’administration sur toutes les interfaces. Cette autorisation utilise un nouvel objet groupe
en lecture seule appelé "Firewall_all" qui contient les objets Firewall_*.
Supervision matérielle
Le module de supervision matérielle (watchdog) est activé en configuration par défaut (300 secondes).
Dans les versions précédentes ce module n’était activé que pour des équipements configurés en haute
disponibilité.
Page 11 sur 32
Copyright NETASQ 2012
RELEASE NOTE
VViirrttuuaall AApppplliiaannccee
Espace disque
Référence support : 22755
Les espaces disques disponibles sur les modèles NETASQ Virtual Appliance ont été augmentés. Les
nouvelles valeurs sont :
Modèles Virtual Appliance Espaces disques
V50, V100, V200 et V500 Espace de stockage : 10Go
VS5, VS10 et VU Espace de stockage : 15Go
Haute disponibilité
Les modèles NETASQ Virtual Appliance peuvent dorénavant être configurés en haute disponibilité.
88..11..22 VVuullnnéérraabbiilliittééss rrééssoolluueess
CCllaammAAVV
Référence support : 24233
Le moteur ClamAV a été mis à jour en version 0.96.3 pour corriger une vulnérabilité (CVE-2010-0405) d’un
dépassement de mémoire qui peut mener à un déni de service et probablement à l’exécution de code en
utilisant un fichier compressé spécialement forgé.
Note : depuis la version 6.2, le serveur ClamAV fonctionne sans aucun droit privilégié.
PPoossttggrreeSSQQLL
La base de données PostgreSQL a été mise à jour en version 8.3.12 afin de corriger une vulnérabilité
(CVE-2010-3433) qui peut mener à une augmentation possible de privilèges en utilisant un code script
spécialement forgé.
88..11..22 CCoorrrreeccttiiffss
MMootteeuurr AASSQQ
Règles de filtrage
Référence support : 24439
Le rechargement d’une politique de filtrage avec des objets corrompus a été amélioré :
- Les règles de filtrage ne seront plus purgées à la suite de 2 rechargements successifs
- En cas de redémarrage avec un slot de filtrage ne pouvant être chargé, toutes les règles
implicites seront chargées.
Plugin FTP
Référence support : 16787
Les commandes FTP MLST et MLSD ne sont plus considérées comme des commandes inconnues.
Page 12 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Plugin SMTP
Référence support : 20147 et 24007
Un faux positif dans l’analyse du protocole SMTP a été corrigé. Ceci pouvait parfois conduire à l’émission
inopinée de l’alarme "Mauvais numéro de séquence TCP".
Plugin SMB2
Un faux positif potentiel dans l’analyse des requêtes SESSION SETUP a été corrigé.
PPrrooxxyy
Filtrage URL
Référence support : 24227
Le contournement possible des règles de filtrage URL en utilisant une URL spécialement forgée a été
corrigé.
VVPPNN SSSSLL
Lotus Domino
Référence support : 23309, 23007 et 24926
Le support de la version 7.0.4 de Lotus Domino Web Access a été amélioré. La correction de cette
anomalie a nécessité l’usage d’un attribut de configuration spécifique pour les serveurs de mails Zimbra.
Cet attribut est configurable par le protocole de gestion de serverd.
OWA 2007 et 2010
Référence support : 23090
Le support des liens Internet dans les emails a été corrigé.
Zimbra
Référence support : 23259
Le support des liens Internet dans les emails a été corrigé.
VVPPNN IIPPSSEECC
Suppression de SA
Référence support : 21809
La suppression de SA dans un contexte de trafic chargé pouvait conduire à un crash système. Cette
anomalie a été corrigée.
SSyyssttèèmmee
Reprise de synchronisation de configuration en haute disponibilité
Référence support : 19748
Le processus de synchronisation a été amélioré en ajoutant un mécanisme de retour arrière en cas
d’échec du processus. Ceci permet d’éviter la perte potentielle des fichiers de configuration sur
l’équipement passif.
Page 13 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Synchronisation de configuration en haute disponibilité
Référence support : 22852 et 24702
La fiabilité du processus de synchronisation a été améliorée afin de se prémunir soit contre des
basculements inopinés durant les traitements soit contre l’apparition d’un état actif-actif.
Statut de haute disponibilité
Référence support : 23638
La stabilité de l’outil hacheckstatus a été améliorée notamment dans un contexte d’usage du module de
syslog chiffré.
VPN PPTP
Référence support : 19504
Une anomalie pouvant conduire à une perte de paquets a été fixée.
Gestion des passerelles
Référence support : 24231
L’utilisation de la fonctionnalité de syslog chiffré pouvait causer un crash du module de gestion des routes
(gatemon). Cette anomalie a été corrigée.
Echec ARP sur des VLANs
Référence support : 23361
Un problème d’échec de résolution ARP pour des VLAN attachés en mode bridge à la même interface
parente a été corrigé. Cette anomalie concernait les produits U70, U120, U250 et U450.
Portail d’authentification
Référence support : 24483
Une erreur de traduction a été corrigée sur la version polonaise du portail.
Mise à jour logicielle en clé USB
Le processus de mise à jour logicielle depuis une clé USB a été simplifié comme suit :
- Si la clé ne contient qu’un seul fichier avec une extension .maj, il sera pris en compte
quelque soit son nom de fichier
- Si plusieurs fichiers de mise à jour sont disponibles sur la clé, ils devront respecter la
nomenclature fwupd-<version>-NETASQ-<buildmodel>.maj (où <buildmodel> peut
prendre une des valeurs suivantes : S, M, L, XL)
Démon Kaspersky
La non-prise en compte de la désactivation du module Kaspersky a été corrigée.
Page 14 sur 32
Copyright NETASQ 2012
RELEASE NOTE
VViirrttuuaall AApppplliiaannccee
Nommage des images
Référence support : 23051
Les noms de fichiers des images virtuelles (extension .ova) ont été modifiés. Ainsi les associations entre
les modèles et les fichiers images sont :
Image virtuelles Modèles Virtual Appliance
VM V50, V100, V200 et V500
VS-VU VS5, VS10 et VU
NNEETTAASSQQ UUnniiffiieedd MMaannaaggeerr
Mise à jour du passif
Référence support : 22672
A partir de la version 8.1.0, la case à cocher « Mise à jour du passif » ne fonctionnait pas correctement.
Cette anomalie est corrigée.
Mise à jour de l’application
Référence support : 23296
Malgré l’existence d’une nouvelle version de l’application NETASQ Unified Manager, le bouton de mise à
jour restait grisé. Cette anomalie a été corrigée.
Gestion des scripts
Référence support : 24971
L’interruption de l’exécution d’un script sur plusieurs équipements sans retour d’erreur a été corrigée.
NNEETTAASSQQ RReeaall TTiimmee MMoonniittoorr
Récupération d’événements
Référence support : 23032
L’usage de fuseaux horaires différents entre un équipement et l’application faisait échouer la récupération
des événements. Cette anomalie a été corrigée.
Tableau de bord
Le fuseau horaire est maintenant affiché en même temps que l’heure.
Active Update
Le support de l’état "Echecs successifs" a été ajouté au panneau de suivi des téléchargements Active
Update. Cet état, introduit en version 8.1.1, correspond à plusieurs échecs successifs de téléchargement
des bases de signatures.
Page 15 sur 32
Copyright NETASQ 2012
RELEASE NOTE
SEISMO
La liste des systèmes d’exploitation n’était pas complète suite à une mise à jour manuelle forcée du
système d’exploitation d’une machine. Cette anomalie est corrigée.
88..11..22..11 VVuullnnéérraabbiilliittééss rrééssoolluueess
CCllaammAAVV
Référence support : 25566
Le moteur ClamAV a été mis à jour en version 0.96.5 pour corriger plusieurs vulnérabilités (CVE-2010-
4260, CVE-2010-4261 et CVE-2010-4479) qui peuvent mener à un déni de service et probablement à
l’exécution arbitraire de code.
Note : depuis la version 6.2, le serveur ClamAV fonctionne sans aucun droit privilégié.
OOppeennSSSSLL
Référence support : 25567
Le module OpenSSL a été mis à jour afin de corriger une vulnérabilité (CVE-2010-4180) qui peut mener à
une diminution du niveau de chiffrement des connexions SSL.
88..11..22..11 CCoorrrreeccttiiffss
VVPPNN SSSSLL
Portail d’authentification
Référence support : 25556
Suite à une mise à jour en version 8.1.2, le fonctionnement du portail SSL ne fonctionnait plus avec
l’usage de certificat. Cette anomalie est corrigée.
Page 16 sur 32
Copyright NETASQ 2012
RELEASE NOTE
88..11..33 FFoonnccttiioonnnnaalliittééss
MMootteeuurr AASSQQ
Plugin HTTP
De nouvelles protections ont été apportées au plugin HTTP pour bloquer l’exploitation des vulnérabilités
suivantes :
Usurpation du nom de fichier téléchargé en le surchargeant avec des caractères Unicode
spécifique (CVE-2009-3376). Ces caractères sont issus des alphabets à écriture de droite à
gauche (Right-To-Left text).
Sur détection de la surcharge, une nouvelle alarme ("Caractère unicode de changement du sens
de la lecture dans URL HTTP" - ID161) est émise. Cette alarme est configurée par défaut en
bloque, majeure.
Duplication de paramètres HTTP pour transmettre une attaque sur plusieurs paramètres qui
portent le même nom, le second surchargeant le premier. Ce mécanisme permet de passer outre
un mécanisme de protection par signature standard.
La duplication de paramètres dans une URL est maintenant bloquée avec la nouvelle alarme
("Tentative de pollution de paramètres HTTP " - ID160). Cette alarme est configurée par défaut en
bloque, majeure sur le profil ASQ « High » et en passe, mineure pour les autres profils.
VVPPNN IIPPSSEECC
Certificat SHA2
Référence support : 22201
Le module d’authentification du VPN IPSEC supporte maintenant l’usage de certificats signés en
utilisant l’algorithme SHA2 (SHA-256).
Signature HMAC SHA2
Référence support : 18635
L’établissement des phases 2 supporte maintenant l’usage de l’algorithme de hachage SHA2 (HMAC-
SHA2).
SSyyssttèèmmee
OpenSSL
Le module openSSL a été mis à jour ne version 1.0.0.c
Syslog
Référence support : 26192
La configuration du module syslog permet de modifier l’emplacement du paramètre "logtype" dans un
événement syslog.
Page 17 sur 32
Copyright NETASQ 2012
RELEASE NOTE
88..11..33 VVuullnnéérraabbiilliittééss rrééssoolluueess
OOppeennSSSSLL
Référence support : 20740
Le module openSSL a été mis à jour en implémentant la RFC 5746 pour corriger la vulnérabilité d’injection
de données durant la phase de négociation du protocole TLS (CVE-2009-3555).
TTCCPP
Une nouvelle protection a été ajoutée pour contrer l’évasion sur l’usage du paramètre TCP "Urgent
Pointer". Par défaut, les paquets TCP contenant un paramètre Urgent Pointer sont bloqués par tous les
plugins à l’exception des plugins FTP et TELNET et la nouvelle alarme " Données urgentes non autorisées
dans du trafic TCP" (ID 162) est émise. Cette alarme est configurée par défaut en bloque, majeure.
En désactivant cette alarme, ces plugins retirent le paramètre URG avant de transmettre le paquet et la
valeur du paramètre " Urgent Pointer" est vérifiée. Pour toute valeur invalide pointant en dehors de la taille
du paquet reçu, l’alarme " Protocole TCP invalide (out of bound urg pointer)" (ID 98) est émise.
CCllaammAAVV
Le moteur ClamAV a été mis à jour pour corriger une vulnérabilité (CVE-2011-1003) qui peut mener à un
déni de service et potentiellement à un système corrompu.
Note : depuis la version 6.2, le serveur ClamAV fonctionne sans aucun droit privilégié.
88..11..33 CCoorrrreeccttiiffss
MMootteeuurr AASSQQ
Protocole des objets service
Référence support : 24439
Le protocole d’un objet service ne peut plus être modifié depuis l’interface graphique.
DNS
La réponse à une requête DNS peut maintenant être réémise plusieurs fois pendant 2 secondes. Ce
comportement était bloqué par l’alarme "DNS id spoofing" (ID38). Une nouvelle alarme ("Réponse DNS
dupliquée" – ID159) a été ajoutée pour détecter les réponses multiples pendant ces 2 secondes. Par
défaut, cette alarme est configurée en passe, ignore.
QoS
L’algorithme de répartition équitable de flux a été amélioré.
Page 18 sur 32
Copyright NETASQ 2012
RELEASE NOTE
PPrrooxxyy
Antispam : fermeture de session DNS
Référence support : 23613
La fermeture de connexion durant le traitement de réponse DNS pouvait causer un arrêt intempestif du
proxy. Cette anomalie est corrigée.
Serveur RBL
Référence support : 15582
Le serveur RBL SORBS a été remplacé par le serveur SPAMCOP dans la configuration par défaut du
module antispam.
Fermeture de connexion SMTP
Référence support : 24578
Le proxy SMTP ne ferme plus immédiatement la connexion en cas de dépassement de la taille du
message. Il attend maintenant la commande QUIT envoyé par le client mail.
AAuutthheennttiiffiiccaattiioonn
Caractère espace
Référence support : 23758
L’utilisation du caractère espace dans la page d’authentification est maintenant interdite.
Mise à jour de CRL
Référence support : 25084
La modification de la période de mise à jour de la liste de des certificats révoqués est correctement prise
en compte.
SPNEGO
Référence support : 25762
L’usage d’une valeur identique pour le nom principal et le nom de domaine pouvait causer un arrêt
intempestif du module d’authentification. Cette anomalie est corrigée.
VVPPNN IIPPSSEECC
Stabilité du module
La stabilité du module IPSEC a été améliorée.
Mise à jour de CRL
Référence support : 24950
La période minimum de téléchargement de la liste des certificats révoqués a été augmentée à 15 mn. La
mise à jour sur une période plus courte peut parfois ne pas être appliquée.
Page 19 sur 32
Copyright NETASQ 2012
RELEASE NOTE
SSyyssttèèmmee
Mise à jour des fichiers de filtrage URL
Référence support : 18905
L’anomalie pouvant conduire à la perte de fichiers de la base de filtrage URL a été fixée. Cette anomalie
intervenait lors de la mise à jour du fichier principal.
Mise à jour des signatures Kaspersky
Référence support : 22162
Le mécanisme de mise à jour de la base de signatures Kaspersky a été amélioré en termes de vérification
et de message de suivi de processus.
Mise à jour de licence
Le chargement d’une licence à une date postérieure à la date de validité du certificat de signature de la
licence n’échouera plus.
Date d’expiration des licences
La date d’expiration d’une licence est maintenant la plus proche des dates entre la date du champ
"NotAfter" et la date d’expiration du certificat utilisé pour signer la licence.
Gestion des routes
Références support : 26416 et 25504
Un message d’alerte a été ajouté sur la création d’une route statique pour joindre un réseau directement
connecté sur le boitier NETASQ. De telles routes ne sont pas utiles et peuvent empêcher les routes d’être
proprement listées.
Haute disponibilité
Référence support : 26393
En cas de redémarrage manuel du firewall actif, le boitier passif est maintenant correctement bloqué à
l’état passif jusqu’au retour de l’actif.
Translation d’adresse de trafic FTP
Référence support : 25293
La gestion de trafic FTP avec translation d’adresse pouvait causer un arrêt intempestif du boitier. Cette
anomalie est corrigée.
Mise à jour de firmware
Le téléchargement d’un fichier de mise à jour de firmware invalide causait une fuite mémoire. Celle-ci est
corrigée.
Serveur DHCP
Un message d’alerte a été ajouté lors de la configuration d’un très grand pool d’adresses qui peut causer
la saturation de la partition /var. Les limites utilisées pour déclencher le message d’alerte dépendent du
modèle de boîtier :
Page 20 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Modèle S : 256 adresses
Modèle M : 4096 adresses
Modèle L : 8192 adresses
Modèle XL : 16384 adresses
NNEETTAASSQQ UUnniiffiieedd MMaannaaggeerr
Gestion des scripts
Référence support : 25306
L’exécution d’un script tentant de télécharger un fichier non lisible n’est plus suspendue sans message
d’erreur explicite.
NNEETTAASSQQ RReeaall TTiimmee MMoonniittoorr
Actualisation des statistiques
Référence support : 25306
L’actualisation de l’affichage des statistiques de paquets TCP, UDP et ICMP est maintenant correctement
gérée.
Stabilité
La stabilité de l’application NETASQ Real Time Monitor a été améliorée.
88..11..44 FFoonnccttiioonnnnaalliittééss
MMootteeuurr AASSQQ
Règle de filtrage
Référence support : 21185
Le nombre maximum d’objets pour tous les groupes utilisés dans les règles de filtrage a doublé; à
l’exception des modèles S (U30-U70). Les nouvelles limites sont :
Modèle S : 512 objets
Modèle M : 2048 objets
Modèle L : 8192 objets
Modèle XL : 16384 objets
Translation d’adresse
Référence support : 25710
Il est maintenant possible de créer une règle de redirection vers la même destination. Ce type de
translation permet de surpasser les règles de redirection des proxies.
Page 21 sur 32
Copyright NETASQ 2012
RELEASE NOTE
88..11..44 VVuullnnéérraabbiilliittééss rrééssoolluueess
PPoossttggrreeSSQQLL
PostgreSQL a été mis à jour en 8.3.14. Cette version corrige une vulnérabilité de dépassement de
mémoire (CVE-2010-4015). Cette vulnérabilité peut mener à un déni de service et potentiellement à
l’exécution de code.
MMoodduullee DDHHCCPP
Correction d’une vulnérabilité (CVE-2011-0997) qui peut mener à l’exécution de commande arbitraire par
l’utilisation de méta-caractères véhiculés dans un message DHCP.
88..11..44 CCoorrrreeccttiiffss
MMootteeuurr AASSQQ
Machines détectées en mode bridge
Référence support : 26406
Les machines détectées sur une interface non protégée d’un bridge ne sont plus ajoutées dans la table
des machines. Ceci permet l’utilisation d’un bridge pour la gamme VS des produits NETASQ Virtual
Appliance, sans saturation de la tables des hôtes.
Machine inconnue sur un bridge
Les paquets envoyés vers une machine inconnue d’un bridge ne sont plus transmis sur l’interface source.
Routage par politique et répartition de charge
Référence support : 22602
L’identifiant de route est dorénavant conservé lors de la récupération de connexions en cas de
basculement ou de redémarrage.
Filtrage et interface Dialup
Référence support : 27442
L’interface réseau est forcée pour les règles de filtrage autorisant le trafic à destination d’une interface
Dialup du Firewall UTM NETASQ.
HTTP
Le contexte applicatif HTTP a été modifié pour corriger une anomalie qui intervenait suite à l’interruption
de transfert de données. Certaines informations des journaux d’événements n’étaient pas correctement
mises à jour.
Page 22 sur 32
Copyright NETASQ 2012
RELEASE NOTE
IInntteerrffaacceess RRéésseeaauuxx
Option « keep VLAN »
Référence support : 27388
La gestion de l’option de conservation de VLAN a été corrigée. Les paquets réseau traversant un bridge
conservent dorénavant le tag VLAN.
Détection de boucle sur des interfaces VLAN
Référence support : 27749
Une anomalie survenait sur le mécanisme de gestion des boucles réseau sur des interfaces VLAN. Le
moteur de prévention d’intrusion NETASQ ne réactivait pas l’interface VLAN qui était désactivée suite à la
détection d’une boucle réseau. Cette anomalie est corrigée.
De plus, le mécanisme de gestion de détection de boucle réseau a été amélioré. La désactivation de
l’interface VLAN par le moteur de prévention d’intrusion sur détection de boucle réseau est inactive par
défaut.
Serveur PPTP
Référence support : 23974
La configuration d’une grande plage d’adresse ne provoque plus la saturation de la partition /var lors de
son activation.
Routage statique
Référence support : 27801
Les routes statiques définies pour des interfaces désactivées ne seront plus injectées.
Equipement à l’arrêt et réponse ARP
Référence support : 26073
Suite à une anomalie sur les interfaces réseaux, un firewall UTM NETASQ répondait aux requêtes ARP
alors qu’il était arrêté. Cette anomalie a été corrigée en désactivant les interfaces réseaux durant l’arrêt.
Les modèles concernés par cette correction sont U70, U120, U250 et U450.
TTrraannssllaattiioonn dd’’aaddrreessssee
Règle de MAP vers un seul port
L’utilisation d’une règle de MAP configurée avec un seul port translaté comme port source causait un arrêt
inattendu. Cette anomalie est corrigée.
PPrrooxxyy
Code d’erreur SMTP
Référence support : 21498
Dans certains cas, des codes d’erreur transitoires (4xx) étaient transmis à la place de codes d’erreur
permanents (5xx). Cette anomalie est corrigée.
Page 23 sur 32
Copyright NETASQ 2012
RELEASE NOTE
ClamAV
Les proxies pouvaient bloquer les fichiers de taille supérieure à 26Mo alors que la politique définissait une
action passe en cas d’échec d’analyse. Cette anomalie est corrigée.
Filtrage URL Optenet
Un potentiel arrêt inopiné du proxy en listant les domaines URL OPTENET a été corrigé.
SSyyssttèèmmee
Passerelle par défaut DHCP
Référence support : 23044
Le Firewall UTM NETASQ peut maintenant récupérer par DHCP une passerelle par défaut qui ne fait pas
partie de la plage d’adresses pouvant être récupérées.
Haute disponibilité
Référence support : 24103 et 26579
Une possible boucle infinie sur le traitement de commandes d’administration liées à la haute disponibilité a
été corrigée.
Active Update
Référence support : 27097
Une potentielle fuite de descripteurs de fichiers a été corrigée. Cette anomalie pouvait causer la
suspension de la mise à jour de la base de signature antivirale.
Portail d’authentification
Référence support : 27179
Les signatures des applets java du portail d’authentification ont été mises à jour.
Authentification LDAP
Référence support : 26952
En cas d’authentification réelle sur le serveur LDAP, il est maintenant possible d’authentifier les utilisateurs
dont le nom absolu (DN) ne contient pas le nom absolu racine (base DN).
Clé USB
Référence support : 26943
Le problème d’échec de démarrage suite à l’insertion d’une clé USB formatée en UFS a été corrigé.
NNEETTAASSQQ UUnniiffiieedd MMaannaaggeerr
Groupe d’objets
Référence support : 27000
En utilisant un groupe d’objets dans une route statique, l’affichage des objets du groupe ne montrait aucun
élément. Cette anomalie est corrigée.
Page 24 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Pertes des profils d’inspection en mode Global
Référence support : 27119
Lors du déploiement de profils, les profils d’inspection par défaut pour le trafic entrant et le trafic sortant
étaient perdus. Cette anomalie est corrigée.
NNEETTAASSQQ RReeaall TTiimmee MMoonniittoorr
Affichage des événements
Référence support : 27609
Un arrêt potentiel de l’application lors de l’affichage des événements a été corrigé.
88..11..55 FFoonnccttiioonnnnaalliittééss
SSyyssttèèmmee
Kaspersky
Mise à jour majeure du moteur antivirus Kaspersky. Une analyse heuristique complémentaire (passage en
version SDK 8) a été ajoutée.
Routage dynamique
Mise à jour majeure des modules de routage dynamique (ZebOS version 7.8.2071211).
88..11..55 VVuullnnéérraabbiilliittééss rrééssoolluueess
SSyyssttèèmmee
CVE-2011-3207, CVE-2011-3210
OpenSSL passe en version 1.0.0e.
CVE-2011-2748, CVE-2011-2749
Deux failles pouvant conduire à un déni de service au sein du serveur DHCP ont été résolues.
NOTE
Le serveur DHCP est activé en configuration par défaut.
Page 25 sur 32
Copyright NETASQ 2012
RELEASE NOTE
CVE-2011-2721
ClamAV a été mis à jour en version 0.97.2. Cette version corrige la vulnérabilité CVE-2011-2721.
NOTE
Le moteur ClamAV n’est pas activé en configuration par défaut.
88..11..55 CCoorrrreeccttiiffss
PPrréévveennttiioonn dd’’iinnttrruussiioonn
Plugin SSL
Référence support : 29653
Les algorithmes de chiffrement ECDHE sont autorisés.
Netbios CIFS
Un faux positif déclenché par l'implémentation SMB d'OSX Lion a été corrigé.
RRéésseeaauu Référence support : 28004
Les hôtes issus de deux sous-réseaux différents (via alias) sur le même bridge sont en mesure de communiquer.
PPrrooxxiieess Référence support : 25697
Les mails envoyés dépassant la taille maximum d’analyse antivirale ne sont plus bloqués.
Référence support : 28400
Le proxy démarre désormais correctement même lorsque le certificat du module SLD est invalide.
FFiillttrraaggee UURRLL Référence support : 28173
Un problème dans la recherche de la catégorie de certaines URL a été corrigé. .
Page 26 sur 32
Copyright NETASQ 2012
RELEASE NOTE
AAuutthheennttiiffiiccaattiioonn Référence support : 28858
Un problème pouvant conduire à un redémarrage du démon d’authentification a été corrigé.
Méthode LDAP
Référence support : 28142
Dans le mode « authentification réelle», les échecs d’authentification des utilisateurs sur le portail ne font plus basculer le firewall sur le serveur LDAP de backup.
VVPPNN SSSSLL Référence support : 27728
Les paramètres des URL externes étaient perdus lors d’une redirection par le VPN SSL.
SSyyssttèèmmee Référence support : 28160
L’importation de clés privées au format DER a été améliorée.
Cryptologie
Un problème lié au chiffrement RC4 (ARCFOUR) sur les modèles NG-1000 et NG-5000 a été corrigé. Il
pouvait impacter le module d'authentification et le VPN SSL.
88..11..55..11 CCoorrrreeccttiiffss
PPoorrttaaiill ccaappttiiff
Navigateur
Référence support : 30980
Suite à la mise à jour Windows KB2585542, des problèmes d'ouverture du portail captif sont survenus,
avec plusieurs navigateurs. Cela est provoqué par un changement dans le format des paquets SSL
générés par ce correctif de Windows.
Page 27 sur 32
Copyright NETASQ 2012
RELEASE NOTE
88..11..55..22 FFoonnccttiioonnnnaalliittééss
SSyyssttèèmmee
Mise à jour automatique de la licence
En prévision de l'expiration prochaine d'un nombre important de licences, une fonctionnalité a été ajoutée
lors du démarrage du Firewall. Dans le cas d’une fin de licence installée prévue au 12 mai 2012, le firewall
tente automatiquement de mettre à jour cette licence sur les serveurs NETASQ (licenceX.netasq.com).
Pour rappel, cette fin de validité concerne toutes les licences, qu’il s’agisse d’une option supplémentaire
payante ou non. Leur expiration provoque l'arrêt des fonctionnalités des modules du firewall soumis à ces
licences.
ATTENTION Dans le cas de l’utilisation de l’option de haute disponibilité, ce téléchargement automatique de la
licence n’est possible que pour le démarrage du firewall ACTIF et exclue donc les cas de
redémarrage du firewall passif, suite à une mise à jour par exemple.
NOTE
En cas d’échec de cette mise à jour automatique, il est fortement recommandé de réaliser cette
opération manuellement. Vous pouvez télécharger une licence renouvelée sur votre espace
Client et l'injecter via NETASQ Unified Manager.
88..11..55..22 CCoorrrreeccttiiffss
IIPPSSeecc Référence support : 30980
Une régression était apparue dans la version 8.1.5 concernant l'injection de politiques d’exclusion IPSec
(bypass). Les règles sont dorénavant correctement prises en compte lors de l'activation du slot de
chiffrement.
Page 28 sur 32
Copyright NETASQ 2012
RELEASE NOTE
88..11..66 VVuullnnéérraabbiilliittééss rrééssoolluueess
SSyyssttèèmmee
OpenSSL CVE-2012-2110
Une faille dans la bibliothèque OpenSSL (lecture de fichiers DER/ASN.1) pouvait être exploitée lors de
l'importation de certificats corrompus ou de requêtes SCEP sur un serveur malveillant. Cette vulnérabilité a
été corrigée.
DHCP CVE-2011-2748, CVE-2011-2749, CVE-2011-4539
Plusieurs failles pouvant conduire à un de déni de service du serveur DHCP ont été résolues.
Net-SNMP CVE-2012-2141
Une faille pouvant conduire à un déni de service au sein de l’agent SNMP a été résolue. Cette vulnérabilité
nécessitait au préalable l’accès en lecture aux MIBs.
Faille de sécurité XSS
Une faille au sein du portail d’authentification pouvait potentiellement être exploitée par une attaque de
type XSS (cross-site scripting) lors d’une redirection (302) sur le portail d’authentification, avec certains
navigateurs.
88..11..66 CCoorrrreeccttiiffss
PPrréévveennttiioonn dd’’iinnttrruussiioonn
Référence support : 32484
Expiration du délai des connexions UDP unidirectionnelles
Les pseudo-connexions UDP avec informations ne transitant que dans un seul sens, n’expirent
dorénavant plus après 2 minutes d’activité. Cette limite ne concernait pas les connexions RTP et RTCP
ouvertes via les analyses SIP, MGCP et H323.
Références support : 29342-20855
Augmentation des valeurs par défaut pour l'alarme « Buffer Overflow » de l’inspection HTTP.
PPrrooxxyy Référence support : 30744
Un partage de ressource mémoire est désormais implémenté au profit du trafic HTTP. Les connexions
des proxies inactifs peuvent maintenant être allouées au proxy HTTP, afin d’augmenter le nombre de
connexions simultanées.
Page 29 sur 32
Copyright NETASQ 2012
RELEASE NOTE
Proxy HTTP
L’échec du téléchargement d’un fichier au travers du proxy HTTP, génère maintenant systématiquement
une trace qui journalise cette coupure (connection interrupted).
Référence support : 25651
Les connexions HTTP utilisant le mode "pipeline" et transmettant des requêtes en version 1.0 du
protocole, pouvaient être refusées par un serveur ICAP externe. Cette anomalie est dorénavant corrigée.
PPoorrttaaiill ccaappttiiff
Plusieurs correctifs de stabilité ont été réalisés sur le portail d’authentification.
Référence support : 29680
Une possible fuite de mémoire lors de l'utilisation du portail d'authentification avec la méthode est
désormais corrigée.
SSyyssttèèmmee Référence support : 31150
La mise à jour des pilotes des cartes réseaux Intel® corrige une défaillance entrainant un possible
redémarrage inopiné du Firewall.
Référence support : 32947
Dans le cas d’un boîtier livré avec un firmware 8.1.4 mais utilisant la version certifiée 8.0.1.1, la mise à
jour du firewall migre désormais correctement la licence.
Référence support : 31984
En version 8.1.5.2, la session d'administration pouvait être interrompue, en cas de configuration antivirus
corrompue.
RRoouuttaaggee
Référence support : 25798
Certaines adresses IP, utilisées dans les groupes de vérification d’une passerelle pouvait être tronquées
lors de leur utilisation.
VVPPNN SSSSLL Référence support 29103
L’envoi de requêtes HTTP (POST) volumineuses à travers le VPN SSL pouvait parfois être ralenti.
VVPPNN IIPPSSeecc Dans le cas d’un tunnel VPN IPsec négocié entre deux Firewalls, l’extinction de l’un d’eux ferme
désormais correctement le tunnel.
Page 30 sur 32
Copyright NETASQ 2012
RELEASE NOTE
88..11..77 FFoonnccttiioonnnnaalliittééss
VVPPNN IIPPSSeecc Référence support : 35025
Le mécanisme de protection anti-rejeu sur le trafic chiffré est désormais paramétrable par la modification
du fichier de configuration (ConfigFiles/VPN/<slot>). La taille de la fenêtre, par défaut de 32 paquets, peut
être étendue à "2040" (par pas de 8).
Exemple :
[Global]
ReplayWSize=32
88..11..77 VVuullnnéérraabbiilliittééss rrééssoolluueess
SSyyssttèèmmee
DHCP CVE-2012-3571, CVE-2012-3954
Plusieurs anomalies pouvant conduire à un arrêt inopiné du serveur DHCP et deux fuites mémoire ont été
résolues (notamment CVE-2012-3571, CVE-2012-3954).
NOTE
Le serveur DHCP ne peut être contacté que depuis une interface dite protégée. Il ne peut être
joint depuis une interface publique.
Montée de version ClamAV en 0.97.5
Le moteur ClamAV n’est pas activé en configuration par défaut sur les pare-feux NETASQ. Dans le cas où
cette fonctionnalité est utilisée, il est recommandé de mettre à jour. Cette nouvelle version améliore
notamment le comportement du moteur antivirus ClamAV face à des possibles tentatives d’évasion de
l’analyse antivirale.
http://www.clamav.net/release-info/bugs/0.97.5
Page 31 sur 32
Copyright NETASQ 2012
RELEASE NOTE
88..11..77 CCoorrrreeccttiiffss
PPrréévveennttiioonn dd’’iinnttrruussiioonn
Références support 33654 – 33456
Paramètres de durée de vie des requêtes SIP
Lorsqu’un serveur de contrôle d’appel envoyait une information d’expiration de la communication dans un
délai supérieur à la durée de vie par défaut d'une requête SIP, le Firewall n’acceptait plus la réponse qui
permettait de fermer correctement la communication SIP.
La durée de vie des sessions SIP, réglée par défaut à 60 secondes, est désormais ajustable de 10s à
3600s, en modifiant le fichier de configuration par commande NETASQ CLI serverd.
Référence support 34656
Analyse SIP
Un problème dans l'analyse SIP sur le protocole TCP pouvant potentiellement provoquer un blocage du
firewall, a été corrigé.
SSyyssttèèmmee Référence support 33928
Agent SNMP
Le fait d’interroger l’agent SNMP (uniquement autorisé par un accès paramétré) sur des éléments non
inclus dans les tables de Mibs NETASQ, ne provoque plus de redémarrage de l’agent.
AAuutthheennttiiffiiccaattiioonn Références support 33283 - 34641
Dans le cas de l’utilisation d’un annuaire Microsoft Active Directory, et de la méthode LDAP en mode
realbind, le firewall ne permet plus d’authentification sans saisie d’un "mot de passe". En effet, les
serveurs d’authentification Microsoft AD peuvent autoriser ce type d’authentification considérant
l’utilisateur comme anonyme.
MMiiggrraattiioonn Référence support 35391
Un problème apparaissait lors d’une mise à jour d’un firmware antérieur à la 8.1.2. Les signatures des
contextes ajoutées en version 8.1.2 étaient mises en configuration par défaut (action bloquer, niveau
majeur). Cela pouvait notamment entraîner le blocage des navigateurs Internet Explorer, suite à l’ajout
des signatures suivantes :
o http_client_header_useragent:24="MSIE : Internet Explorer 6 & 7 blocked"
o http_client_header_useragent:52="MSIE : Internet Explorer 8 blocked"
oo http_client_header_useragent:53="MSIE : Internet Explorer blocked (all versions)"
Page 32 sur 32
Copyright NETASQ 2012
RELEASE NOTE
88..11..77 PPrroobbllèèmmeess ccoonnnnuuss
RRéésseeaauu Référence support : 14891
Les VLANs attachés à une interface Ethernet désactivée ne peuvent pas fonctionner correctement si l’interface parente est configurée au sein du DHCP. Pour résoudre ce problème, il faut attacher une adresse IP statique à l’interface parente.
Référence support : 17719
Des problèmes de lecture de la table ARP peuvent survenir lorsque la première interface d’un bridge est désactivée. Après activation du réseau, un hôte de substitution peut-être relié à l’interface désactivée, jusqu’à ce qu’il soit détecté par un autre. Pendant ce temps, il peut bloquer le firewall à partir son propre transfert de trafic. La solution est d’activer l’interface (même si celle-ci n’est pas branchée/utilisée).
AAuutthheennttiiffiiccaattiioonn
Active Directory
Référence support : 13734
Lorsqu’un hôte inscrit dans la base objets est représenté par son nom de domaine, le firewall ne permet pas de récupérer la liste des utilisateurs correctement.
VVPPNN IIPPSSeecc Référence support : 17873
Avant d’ajouter ou de supprimer une politique de bypass, vous devez avoir au préalable activé/désactivé la politique existante. Il faut rafraîchir la page une fois l’opération terminée, afin de garantir le bon fonctionnement de la politique.
OWA Premium 2003 avec Internet Explorer
Référence support : 21807
Si l’ « erreur 404 Introuvable » apparaît lorsque vous tentez de répondre à un mail ouvert dans une nouvelle fenêtre, vous pouvez vous référer aux solutions suivantes :
Cliquez directement sur « Répondre »
Clic droit : choisir « Répondre »
SSyyssttèèmmee
Dépassement de tampon
Référence support : 16806
Le message « more tty-level Buffer Overflow » peut parfois apparaître sur la console des modèles U1100, U1500 et U6000. Cela signifie que certains caractères ont été saisis trop rapidement pour que le firewall ne les lise.