NETASQ Firewall UTM Version 8.1

Page 1 sur 32

Copyright NETASQ 2012

RELEASE NOTE

Version

8.1.0 Fonctionnalités Vulnérabilités résolues Correctifs






8.1.5.1 Correctifs

8.1.5.2 Fonctionnalités Correctifs

8.1.6 Vulnérabilités résolues Correctifs

8.1.7 Fonctionnalités Vulnérabilités résolues Correctifs Problèmes connus

NETASQ Firewall – UTM Version 8.1.7

Points principaux

Appliance virtuelle

Compatibilité logicielle

Version minimale requise : 7.0.0 H.A version minimale requise : 7.0.0

Niveau de modification

Politique de filtrage Aucune Proxy Aucune

VPN SSL Aucune Haute disponibilité Aucune

Administration Suite Mineure Système d’exploitation Majeure

ASQ Aucune Moniteur temps réel Majeure

U30 U1100

U70 U1500

U120 U6000

U250 NG1000-A

U450 NG5000-A

Contenu

Moniteur temps réel

Compatibilité matérielle

V50 VS5

V100 VS10

V200 VU

V500

Appliances virtuelles

Page 2 sur 32


RELEASE NOTE

88..11..00 FFoonnccttiioonnnnaalliittééss

SSyyssttèèmmee

Virtualisation

Le système logiciel des produits NETASQ a évolué afin de gérer la nouvelle gamme d’équipements

virtuels (NETASQ Virtual Appliance).

Nouveaux équipements

Le système logiciel des produits NETASQ a été modifié pour intégrer les nouveaux équipements de la

gamme NETASQ : NG1000-A et NG5000-A.

VVPPNN IIPPSSEECC

Protocole IKE

Le module gérant le protocole IKE a été mis à jour. Ipsec-tools est maintenant en version 0.7.3

NNEETTAASSQQ RREEAALL--TTIIMMEE MMOONNIITTOORR

Panneau des alarmes

Plusieurs améliorations ont été apportées au panneau listant les alarmes d’un équipement.

Le panneau Alarmes se nomme maintenant Evénements.

Le panneau Evénements affiche maintenant des informations de différents types : alarm,

web, virus, mail, FTP, filter et connection.

L’affichage par défaut des colonnes a été modifié.

Le nombre de colonnes présentes a augmenté.

Une nouvelle colonne « détail » permet d’afficher des informations pertinentes quelque soit

le fichier de trace source.

Une liste déroulante permet de choisir un filtre prédéfini sur les informations présentées :

Filtrage sur les événements alarmes

Filtrage des informations concernant les virus

Filtrage sur les événements de connexions

Filtrage sur les événements web

Filtrage sur les événements mail

Filtrage sur les événements FTP

Filtrage sur les événements de filtrage

L’agrégation de différents types d’information permet d’avoir une vue synthétique des événements

importants. L’utilisation de filtres prédéfinis assure une réelle aide dans la supervision de la politique de

sécurité.

Fonction de filtre

Une fonction de filtre avancée est disponible sur la plupart des tableaux de l’application NETASQ Real-

Time Monitor. Ainsi, les informations peuvent être filtrées sur une ou plusieurs colonnes en utilisant les

opérateurs suivants :

Est égale à

Contient

Page 3 sur 32


RELEASE NOTE

Commence par

Se termine par

Utilisation de caractère de joker ( ?, *, […])

Expression régulière

Utilisation d’un opérateur de négation

Une fois qu’un filtre est appliqué sur une colonne, une icône spécifique apparaît.

Rafraichissement des informations

La fréquence de rafraichissement des informations a été modifiée. Il est maintenant possible de configurer

la valeur de rafraichissement à 1 seconde pour obtenir des informations en temps réel.

88..11..00 VVuullnnéérraabbiilliittééss rrééssoolluueess

NNSS--BBSSDD

Le paramètre security.bsd.map_at_zero de sysctl a été désactivé afin de suivre la recommandation

FreeBSD-EN-09:05.null.

NNEETTAASSQQ EEVVEENNTT RREEPPOORRTTEERR

Le produit NETASQ EVENT REPORTER a été modifié afin de proposer une nouvelle version de la base

de données. La version 8.3.9 de PostGreSQL inclut la correction des vulnérabilités suivantes :

Erreur dans la gestion du caractère ‘/0’ du champ « nom de domaine » qui pouvait aboutir

à une attaque de type man-in-the-middle pour usurper une session SSL du serveur de base

de données (CVE-2009-4034).

Possibilité d’obtenir plus de privilège avec un login valide (CVE-2009-4136)

88..11..00 CCoorrrreeccttiiffss

MMootteeuurr AASSQQ

Protocole TCP : Réémission de SYN

Référence support : 20989

La retransmission de paquets SYN n’est plus bloquée une fois l’échange SYN/ACK effectué.

Plugin HTTP : champ « Proxy-Connection : keep-alive »


Le champ d’en-tête « Proxy-Connection : keep-alive » du protocole HTTP/1.0 est maintenant géré.

Plugin HTTP : champ « Content-Length »


Les valeurs de « Content-Length » supérieures à 4Go (entier de 32 bits) sont maintenant correctement

gérées.

Page 4 sur 32


RELEASE NOTE

Plugin HTTP : requête POST tronquée


Le support du transfert de requête POST tronqué a été ajouté.

Saturation par paquets SYN (SYN flooding)

La protection contre l’inondation de paquets SYN sur les réseaux internes a été améliorée. Le moteur ASQ

réinitialise les tentatives de connexions vers les serveurs du réseau protégé en fonction de la valeur du

paramètre « SYN timeout ». Ceci permet aux serveurs de libérer plus rapidement leurs ressources.

Plugin SSL

Le plugin SSL a été amélioré afin de mieux gérer les messages « TLS hello » transmis par un client

utilisant une version TLS supérieure à celle du serveur. Ceci permet de supporter notamment les

négociations HTTPS de l’application Opera 10.50.

PPrrooxxyy

Proxy HTTP : champ « Content-Length »


Les valeurs de « Content-Length » supérieures à 4Go (entier de 32 bits) sont maintenant correctement

gérées.

Proxy HTTP explicite

Le proxy ne s’arrêtera plus sur détection d’un caractère nul dans un en-tête. Une page d’erreur sera

présentée à l’utilisateur final.

Fuite mémoire

Plusieurs fuites mémoire concernant les proxies et le module PKI ont été corrigées.

VVPPNN SSSSLL

Paramètres de proxy Java


L’applet Java prend maintenant en compte les paramètres de proxy Java.

Profils utilisateurs


Lors d’une authentification d’utilisateur, si le profil VPN SSL de l’utilisateur est inconnu, il sera chargé

dynamiquement (cas de la création d’un nouvel utilisateur ou d’un nouveau profil sur un LDAP externe).

Accès complet


Le support des guillemets dans les commandes à exécuter lors des connexions est maintenant

correctement assuré.

Page 5 sur 32


RELEASE NOTE

Amélioration de compatibilité

La compatibilité pour accéder au site Google au travers du VPN SSL est améliorée.

PPKKII

Enrôlement

Le choix du niveau de chiffrement du portail n’était pas correctement affiché par Internet Explorer 8 sous

Windows Vista. Cette anomalie est corrigée.

SSyyssttèèmmee

Module SNMP : fuite mémoire


Le module net-snmp a été mis à jour en version 5.4.2.1. Cette version corrige un problème de fuite

mémoire dans le démon snmpd.

Active Update


Le message « Master updates are scheduled the (…) of each month, today is the (…) => WON’T do

master update today » ne sera plus affiché lors de l’exécution de la commande autoupdate avec l’option

de forçage -f.

Connexion serverd


La taille maximum du champ DN (Distinguished name) pour les commandes « USER * » a été augmentée

de 128 à 1024 octets.

Haute disponibilité

Afin de prévenir un changement inopiné d’équipement, le calcul de qualité des interfaces n’est plus

effectué lors de la commande d’activation réseau « ennetwork ».

NNEETTAASSQQ UUNNIIFFIIEEDD MMAANNAAGGEERR

Gestion de la haute disponibilité


La sauvegarde sur la partition de backup est maintenant systématiquement réalisée sur l’équipement actif

du cluster. L’équipement ciblé par la commande de sauvegarde système ne dépend plus de la valeur du

paramètre « passive update ».

Plugin HTTP

La taille maximum du tampon pour la gestion des Cookies a été augmentée de 4096 à 65 536 octets.

Page 6 sur 32


RELEASE NOTE

PKI / LDAP

Le démarrage de l’assistant de configuration LDAP depuis l’écran PKI après avoir été déconnecté causait

un crash de l’application. Cette anomalie est corrigée.

NNEETTAASSQQ EEVVEENNTT RREEPPOORRTTEERR

Migration du module Collector


Un message d’avertissement a été ajouté lors de la migration de la version 7 à la version 8 du module

Collector. Ce message informe que les anciens logs ne seront pas automatiquement migrés. Pour

effectuer la migration, les logs devront être exportés en version 7 puis importés en version 8.


PPrréévveennttiioonn dd’’iinnttrruussiioonn ((AASSQQ))

Analyse SMB/SMB2

Les analyses des protocoles Microsoft NB-CIFS et NB-SSN ont été améliorées pour bloquer

l’exploitation des vulnérabilités suivantes :

CVE-2010-0270: débordement de la taille mémoire (« buffer overflow ») sur le protocole SMB avec

possibilité d'exploitation à distance pour Windows 7 et Windows 2008 R2.

CVE-2010-0476: déni de service possible sur le protocole SMB affectant Windows 2003 SP2,

Windows Vista Gold, Windows Server 2008 Gold et SP2.

CVE-2010-0269: débordement de la taille mémoire (« buffer overflow ») sur le protocole SMB

avec possibilité d'exploitation à distance de Windows 2000 SP4, Windows XP SP2 et SP3,

Windows Server 2003 SP2, Windows Vista Gold, SP1, SP2 et, Windows Server 2008 Gold, SP2

et R2 et Windows 7.

CVE-2010-0477: exécution à distance du code arbitraire sur le protocole SMB2, affectant

Windows Server 2008 R2 et Windows 7.

Pour ces protections, l'alarme « Protocole NBSS/SMB/SMB2 invalide » (id 157) a été divisée en

deux :

- « Protocole NBSS/SMB2 invalide » (id 157) : est remontée sur détection de plusieurs

types de paquets NBSS/SMB2 mal formés.

- « Protocole NBSS/SMB invalide » (id 158) : est remontée sur détection de plusieurs

types de paquets NBSS/SMB mal formés.

Ces alarmes sont de type « sensible ». Configurées en mode « Passer », leur détection

implique le détachement de l’analyse associée. Elles sont configurées par défaut en mode

« Bloquer, Mineure ».

Page 7 sur 32


RELEASE NOTE

Analyse DNS

L’analyse du protocole DNS a été améliorée pour bloquer avec l’alarme « Protocole DNS invalide » (id 88), les tentatives d’exploitation de la vulnérabilité suivante :

CVE-2010-0024: déni de service sur l'analyse MX affectant Microsoft Windows 2000 SP4,

XP SP2 et SP3, Server 2003 SP2, Server 2008 Gold, SP2 et R2, et Exchange Server 2003

SP2.


CCllaammAAVV Référence support : 22489

Correction d’une vulnérabilité de déni de service via un fichier PDF spécialement forgé. (CVE-2010- 1639).

PPoossttggrreeSSQQLL

PostgreSQL a été mis à jour en 8.3.11. Cette version corrige les vulnérabilités suivantes :

• CVE-2010-0442 (corrigée en 8.3.10)

• CVE-2010-1169

• CVE-2010-1170


AASSQQ

Valeurs limites du profile 00


Les valeurs limites définies dans ConfigFileS/ASQ/00 (règles de filtrage, hôtes, utilisateurs et taille de la

file d’attente maximums) sont de nouveau appliquées.

Analyse SMB2 Un faux positif a été corrigé dans l’analyse du protocole SMB2.

SSEEIISSMMOO

Encodage des caractères L’encodage des caractères accentués dans les messages SEISMO a été réparé.

VVPPNN IIPPSSEECC

NAT Traversal (NAT-T)


Amélioration de la stabilité des configurations IPSEC utilisant le NAT-T.

Page 8 sur 32


RELEASE NOTE

Fuite mémoire Référence support : 21936

Une fuite de mémoire a été corrigée. Elle pouvait altérer les performances sur certaines configurations

utilisant beaucoup de correspondants IPSEC anonymes.

VPN SSL

Réécriture Référence support : 21808

La réécriture du Javascript et du HTML par le VPN SSL a été améliorée.

Proxy

Proxy HTTP : champ « Content-Length » Référence support : 22375

Les tabulations ou espaces après la valeur « Content-Length » ne sont plus bloqués par le proxy HTTP.

Proxy SMTP et Antivirus Référence support : 21163

Certains e-mails conséquents étaient parfois dupliqués lorsqu’ils étaient transmis au serveur via le proxy.

SSyyssttèèmmee

Haute disponibilité Référence support : 22293

Un problème de redémarrage du démon hardwared qui pouvait apparaître en cas d’utilisation du watchdog

a été corrigé.

MTU de VLAN Référence support : 22572

Modèles U70, U120, U250 et U450 : pour configurer la MTU d’un VLAN à 1500, il n’est plus nécessaire

d’augmenter la MTU de l’interface parent au-delà de 1500.

LDAP Externe Référence support : 21870

Le support des espaces dans les « Distinguished Name » (DN) a été amélioré.

Authentification Référence support : 22424

Un message plus explicite s’affiche maintenant sur le portail d’authentification lorsque le mot de passe

Kerberos est expiré.

Serveur DHCP Référence support : 22520

L’activation du serveur n’échoue plus si une erreur survient sur une seule machine (exemple : adresse

MAC supprimée). L’erreur sera ignorée pour éviter que le service DHCP soit stoppé pour d’autres

équipements.

Page 9 sur 32


RELEASE NOTE

Syslog Référence support : 22520

La taille des logs envoyés par Syslog a été limitée pour éviter de dépasser 1024 octets (limite imposée par

la RFC 3195). Les logs concernés sont :

-- Les logs d’alarmes :: Le contenu du paquet ne sera plus envoyé s’il fait dépasser la limite.

- Les logs web : Si le champ arg (contenant l’URL) met trop de temps à transmettre le log,

l’URL est tronquée (512 octets).

NG1000-A, NG5000-A

La restauration d’une configuration d’un modèle U ou F sur un modèle NG prend désormais en compte les

ports d’administration de ces derniers. Leur disponibilité est conservée après la restauration.

L’assistant gère désormais correctement les ports d’administration.

MMoonniitteeuurr tteemmppss rrééeell

Tableau de bord


Un problème d'affichage des graphiques de consommation CPU sur le tableau de bord a été corrigé.

Evénements Référence support : 22331

Les événements VPN et Système ne sont plus dupliqués lors de l’actualisation.

88..11..11..11 VVuullnnéérraabbiilliittééss rrééssoolluueess

SSyyssttèèmmee


Le module de gestion des requêtes ARP a été mis à jour pour corriger une vulnérabilité. Dans certaines

configurations, forcer l’équipement NETASQ à émettre un grand nombre de requêtes ARP sans réponse

pouvait causer un déni de service.

88..11..11..11 CCoorrrreeccttiiffss

SSyyssttèèmmee

Connexion serverd


Le suivi de statut des commandes Active Update pouvait figer l’application NETASQ REAL-TIME

MONITOR. Cette anomalie a été corrigée.

Page 10 sur 32


RELEASE NOTE


MMootteeuurr AASSQQ

Plugin HTTP et DNS

Afin de créer des protections plus efficaces et plus précises, 3 nouveaux contextes de signatures ont été

créés :

- http:client:useragent

- http:client:cookie

- tcpudp:hostname

Note importante

Certaines signatures du contexte http:client:header ont été déplacées vers les nouveaux contextes

mentionnés ci-dessus. De plus, certaines nouvelles protections ne seront disponibles que pour ces

contextes.

Contexte « hostname »

Le contexte « tcpudp:hostname » s’applique aux champs hostname des requêtes HTTP et DNS. Il intègre

de nombreuses signatures qui permettent d’identifier différents sites web. Ainsi, un site hostile sera bloqué

tant sur la requête DNS que sur la requête HTTP. Ce fonctionnement optimise notamment les

performances car il évite une requête HTTP inutile en interdisant la résolution DNS vers un site malveillant.

Configuration d’alarmes

L’alarme protocolaire "Paquet avec destination sur la même interface" (identifiant 95) est maintenant une

alarme "Sensible", il est donc possible de la configurer à l’état "Passer". Cette configuration autorise

l’échange de paquets entre 2 machines connectées sur la même interface et dans le même réseau que le

firewall sans configurer de règle "Bypass".

SSyyssttèèmmee

Interface de gestion

Référence support : 22647 et 23729

Les connexions d’administration sont maintenant autorisées sur l’interface « out » (port 1) en configuration

par défaut via une règle explicite. Ainsi, la politique de filtrage activé par défaut (01 – « Block all ») autorise

les connexions d’administration sur toutes les interfaces. Cette autorisation utilise un nouvel objet groupe

en lecture seule appelé "Firewall_all" qui contient les objets Firewall_*.

Supervision matérielle

Le module de supervision matérielle (watchdog) est activé en configuration par défaut (300 secondes).

Dans les versions précédentes ce module n’était activé que pour des équipements configurés en haute

disponibilité.

Page 11 sur 32


RELEASE NOTE

VViirrttuuaall AApppplliiaannccee

Espace disque


Les espaces disques disponibles sur les modèles NETASQ Virtual Appliance ont été augmentés. Les

nouvelles valeurs sont :

Modèles Virtual Appliance Espaces disques

V50, V100, V200 et V500 Espace de stockage : 10Go

VS5, VS10 et VU Espace de stockage : 15Go


Les modèles NETASQ Virtual Appliance peuvent dorénavant être configurés en haute disponibilité.


CCllaammAAVV


Le moteur ClamAV a été mis à jour en version 0.96.3 pour corriger une vulnérabilité (CVE-2010-0405) d’un

dépassement de mémoire qui peut mener à un déni de service et probablement à l’exécution de code en

utilisant un fichier compressé spécialement forgé.

Note : depuis la version 6.2, le serveur ClamAV fonctionne sans aucun droit privilégié.


La base de données PostgreSQL a été mise à jour en version 8.3.12 afin de corriger une vulnérabilité

(CVE-2010-3433) qui peut mener à une augmentation possible de privilèges en utilisant un code script

spécialement forgé.


MMootteeuurr AASSQQ

Règles de filtrage


Le rechargement d’une politique de filtrage avec des objets corrompus a été amélioré :

- Les règles de filtrage ne seront plus purgées à la suite de 2 rechargements successifs

- En cas de redémarrage avec un slot de filtrage ne pouvant être chargé, toutes les règles

implicites seront chargées.

Plugin FTP


Les commandes FTP MLST et MLSD ne sont plus considérées comme des commandes inconnues.

Page 12 sur 32


RELEASE NOTE

Plugin SMTP


Un faux positif dans l’analyse du protocole SMTP a été corrigé. Ceci pouvait parfois conduire à l’émission

inopinée de l’alarme "Mauvais numéro de séquence TCP".

Plugin SMB2

Un faux positif potentiel dans l’analyse des requêtes SESSION SETUP a été corrigé.

PPrrooxxyy

Filtrage URL


Le contournement possible des règles de filtrage URL en utilisant une URL spécialement forgée a été

corrigé.

VVPPNN SSSSLL

Lotus Domino

Référence support : 23309, 23007 et 24926

Le support de la version 7.0.4 de Lotus Domino Web Access a été amélioré. La correction de cette

anomalie a nécessité l’usage d’un attribut de configuration spécifique pour les serveurs de mails Zimbra.

Cet attribut est configurable par le protocole de gestion de serverd.

OWA 2007 et 2010


Le support des liens Internet dans les emails a été corrigé.

Zimbra


Le support des liens Internet dans les emails a été corrigé.

VVPPNN IIPPSSEECC

Suppression de SA


La suppression de SA dans un contexte de trafic chargé pouvait conduire à un crash système. Cette

anomalie a été corrigée.

SSyyssttèèmmee

Reprise de synchronisation de configuration en haute disponibilité


Le processus de synchronisation a été amélioré en ajoutant un mécanisme de retour arrière en cas

d’échec du processus. Ceci permet d’éviter la perte potentielle des fichiers de configuration sur

l’équipement passif.

Page 13 sur 32


RELEASE NOTE

Synchronisation de configuration en haute disponibilité


La fiabilité du processus de synchronisation a été améliorée afin de se prémunir soit contre des

basculements inopinés durant les traitements soit contre l’apparition d’un état actif-actif.

Statut de haute disponibilité


La stabilité de l’outil hacheckstatus a été améliorée notamment dans un contexte d’usage du module de

syslog chiffré.

VPN PPTP


Une anomalie pouvant conduire à une perte de paquets a été fixée.

Gestion des passerelles


L’utilisation de la fonctionnalité de syslog chiffré pouvait causer un crash du module de gestion des routes

(gatemon). Cette anomalie a été corrigée.

Echec ARP sur des VLANs


Un problème d’échec de résolution ARP pour des VLAN attachés en mode bridge à la même interface

parente a été corrigé. Cette anomalie concernait les produits U70, U120, U250 et U450.

Portail d’authentification


Une erreur de traduction a été corrigée sur la version polonaise du portail.

Mise à jour logicielle en clé USB

Le processus de mise à jour logicielle depuis une clé USB a été simplifié comme suit :

- Si la clé ne contient qu’un seul fichier avec une extension .maj, il sera pris en compte

quelque soit son nom de fichier

- Si plusieurs fichiers de mise à jour sont disponibles sur la clé, ils devront respecter la

nomenclature fwupd-<version>-NETASQ-<buildmodel>.maj (où <buildmodel> peut

prendre une des valeurs suivantes : S, M, L, XL)

Démon Kaspersky

La non-prise en compte de la désactivation du module Kaspersky a été corrigée.

Page 14 sur 32


RELEASE NOTE

VViirrttuuaall AApppplliiaannccee

Nommage des images


Les noms de fichiers des images virtuelles (extension .ova) ont été modifiés. Ainsi les associations entre

les modèles et les fichiers images sont :

Image virtuelles Modèles Virtual Appliance

VM V50, V100, V200 et V500

VS-VU VS5, VS10 et VU

NNEETTAASSQQ UUnniiffiieedd MMaannaaggeerr

Mise à jour du passif


A partir de la version 8.1.0, la case à cocher « Mise à jour du passif » ne fonctionnait pas correctement.

Cette anomalie est corrigée.

Mise à jour de l’application


Malgré l’existence d’une nouvelle version de l’application NETASQ Unified Manager, le bouton de mise à

jour restait grisé. Cette anomalie a été corrigée.

Gestion des scripts


L’interruption de l’exécution d’un script sur plusieurs équipements sans retour d’erreur a été corrigée.

NNEETTAASSQQ RReeaall TTiimmee MMoonniittoorr

Récupération d’événements


L’usage de fuseaux horaires différents entre un équipement et l’application faisait échouer la récupération

des événements. Cette anomalie a été corrigée.

Tableau de bord

Le fuseau horaire est maintenant affiché en même temps que l’heure.

Active Update

Le support de l’état "Echecs successifs" a été ajouté au panneau de suivi des téléchargements Active

Update. Cet état, introduit en version 8.1.1, correspond à plusieurs échecs successifs de téléchargement

des bases de signatures.

Page 15 sur 32


RELEASE NOTE

SEISMO

La liste des systèmes d’exploitation n’était pas complète suite à une mise à jour manuelle forcée du

système d’exploitation d’une machine. Cette anomalie est corrigée.

88..11..22..11 VVuullnnéérraabbiilliittééss rrééssoolluueess

CCllaammAAVV


Le moteur ClamAV a été mis à jour en version 0.96.5 pour corriger plusieurs vulnérabilités (CVE-2010-

4260, CVE-2010-4261 et CVE-2010-4479) qui peuvent mener à un déni de service et probablement à

l’exécution arbitraire de code.


OOppeennSSSSLL


Le module OpenSSL a été mis à jour afin de corriger une vulnérabilité (CVE-2010-4180) qui peut mener à

une diminution du niveau de chiffrement des connexions SSL.


VVPPNN SSSSLL



Suite à une mise à jour en version 8.1.2, le fonctionnement du portail SSL ne fonctionnait plus avec

l’usage de certificat. Cette anomalie est corrigée.

Page 16 sur 32


RELEASE NOTE


MMootteeuurr AASSQQ

Plugin HTTP

De nouvelles protections ont été apportées au plugin HTTP pour bloquer l’exploitation des vulnérabilités

suivantes :

Usurpation du nom de fichier téléchargé en le surchargeant avec des caractères Unicode

spécifique (CVE-2009-3376). Ces caractères sont issus des alphabets à écriture de droite à

gauche (Right-To-Left text).

Sur détection de la surcharge, une nouvelle alarme ("Caractère unicode de changement du sens

de la lecture dans URL HTTP" - ID161) est émise. Cette alarme est configurée par défaut en

bloque, majeure.

Duplication de paramètres HTTP pour transmettre une attaque sur plusieurs paramètres qui

portent le même nom, le second surchargeant le premier. Ce mécanisme permet de passer outre

un mécanisme de protection par signature standard.

La duplication de paramètres dans une URL est maintenant bloquée avec la nouvelle alarme

("Tentative de pollution de paramètres HTTP " - ID160). Cette alarme est configurée par défaut en

bloque, majeure sur le profil ASQ « High » et en passe, mineure pour les autres profils.

VVPPNN IIPPSSEECC

Certificat SHA2


Le module d’authentification du VPN IPSEC supporte maintenant l’usage de certificats signés en

utilisant l’algorithme SHA2 (SHA-256).

Signature HMAC SHA2


L’établissement des phases 2 supporte maintenant l’usage de l’algorithme de hachage SHA2 (HMAC-

SHA2).

SSyyssttèèmmee

OpenSSL

Le module openSSL a été mis à jour ne version 1.0.0.c

Syslog


La configuration du module syslog permet de modifier l’emplacement du paramètre "logtype" dans un

événement syslog.

Page 17 sur 32


RELEASE NOTE


OOppeennSSSSLL


Le module openSSL a été mis à jour en implémentant la RFC 5746 pour corriger la vulnérabilité d’injection

de données durant la phase de négociation du protocole TLS (CVE-2009-3555).

TTCCPP

Une nouvelle protection a été ajoutée pour contrer l’évasion sur l’usage du paramètre TCP "Urgent

Pointer". Par défaut, les paquets TCP contenant un paramètre Urgent Pointer sont bloqués par tous les

plugins à l’exception des plugins FTP et TELNET et la nouvelle alarme " Données urgentes non autorisées

dans du trafic TCP" (ID 162) est émise. Cette alarme est configurée par défaut en bloque, majeure.

En désactivant cette alarme, ces plugins retirent le paramètre URG avant de transmettre le paquet et la

valeur du paramètre " Urgent Pointer" est vérifiée. Pour toute valeur invalide pointant en dehors de la taille

du paquet reçu, l’alarme " Protocole TCP invalide (out of bound urg pointer)" (ID 98) est émise.

CCllaammAAVV

Le moteur ClamAV a été mis à jour pour corriger une vulnérabilité (CVE-2011-1003) qui peut mener à un

déni de service et potentiellement à un système corrompu.



MMootteeuurr AASSQQ

Protocole des objets service


Le protocole d’un objet service ne peut plus être modifié depuis l’interface graphique.

DNS

La réponse à une requête DNS peut maintenant être réémise plusieurs fois pendant 2 secondes. Ce

comportement était bloqué par l’alarme "DNS id spoofing" (ID38). Une nouvelle alarme ("Réponse DNS

dupliquée" – ID159) a été ajoutée pour détecter les réponses multiples pendant ces 2 secondes. Par

défaut, cette alarme est configurée en passe, ignore.

QoS

L’algorithme de répartition équitable de flux a été amélioré.

Page 18 sur 32


RELEASE NOTE

PPrrooxxyy

Antispam : fermeture de session DNS


La fermeture de connexion durant le traitement de réponse DNS pouvait causer un arrêt intempestif du

proxy. Cette anomalie est corrigée.

Serveur RBL


Le serveur RBL SORBS a été remplacé par le serveur SPAMCOP dans la configuration par défaut du

module antispam.

Fermeture de connexion SMTP


Le proxy SMTP ne ferme plus immédiatement la connexion en cas de dépassement de la taille du

message. Il attend maintenant la commande QUIT envoyé par le client mail.

AAuutthheennttiiffiiccaattiioonn

Caractère espace


L’utilisation du caractère espace dans la page d’authentification est maintenant interdite.

Mise à jour de CRL


La modification de la période de mise à jour de la liste de des certificats révoqués est correctement prise

en compte.

SPNEGO


L’usage d’une valeur identique pour le nom principal et le nom de domaine pouvait causer un arrêt

intempestif du module d’authentification. Cette anomalie est corrigée.

VVPPNN IIPPSSEECC

Stabilité du module

La stabilité du module IPSEC a été améliorée.

Mise à jour de CRL


La période minimum de téléchargement de la liste des certificats révoqués a été augmentée à 15 mn. La

mise à jour sur une période plus courte peut parfois ne pas être appliquée.

Page 19 sur 32


RELEASE NOTE

SSyyssttèèmmee

Mise à jour des fichiers de filtrage URL


L’anomalie pouvant conduire à la perte de fichiers de la base de filtrage URL a été fixée. Cette anomalie

intervenait lors de la mise à jour du fichier principal.

Mise à jour des signatures Kaspersky


Le mécanisme de mise à jour de la base de signatures Kaspersky a été amélioré en termes de vérification

et de message de suivi de processus.

Mise à jour de licence

Le chargement d’une licence à une date postérieure à la date de validité du certificat de signature de la

licence n’échouera plus.

Date d’expiration des licences

La date d’expiration d’une licence est maintenant la plus proche des dates entre la date du champ

"NotAfter" et la date d’expiration du certificat utilisé pour signer la licence.

Gestion des routes

Références support : 26416 et 25504

Un message d’alerte a été ajouté sur la création d’une route statique pour joindre un réseau directement

connecté sur le boitier NETASQ. De telles routes ne sont pas utiles et peuvent empêcher les routes d’être

proprement listées.



En cas de redémarrage manuel du firewall actif, le boitier passif est maintenant correctement bloqué à

l’état passif jusqu’au retour de l’actif.

Translation d’adresse de trafic FTP


La gestion de trafic FTP avec translation d’adresse pouvait causer un arrêt intempestif du boitier. Cette

anomalie est corrigée.

Mise à jour de firmware

Le téléchargement d’un fichier de mise à jour de firmware invalide causait une fuite mémoire. Celle-ci est

corrigée.

Serveur DHCP

Un message d’alerte a été ajouté lors de la configuration d’un très grand pool d’adresses qui peut causer

la saturation de la partition /var. Les limites utilisées pour déclencher le message d’alerte dépendent du

modèle de boîtier :

Page 20 sur 32


RELEASE NOTE

Modèle S : 256 adresses

Modèle M : 4096 adresses

Modèle L : 8192 adresses

Modèle XL : 16384 adresses


Gestion des scripts


L’exécution d’un script tentant de télécharger un fichier non lisible n’est plus suspendue sans message

d’erreur explicite.


Actualisation des statistiques


L’actualisation de l’affichage des statistiques de paquets TCP, UDP et ICMP est maintenant correctement

gérée.

Stabilité

La stabilité de l’application NETASQ Real Time Monitor a été améliorée.


MMootteeuurr AASSQQ

Règle de filtrage


Le nombre maximum d’objets pour tous les groupes utilisés dans les règles de filtrage a doublé; à

l’exception des modèles S (U30-U70). Les nouvelles limites sont :

Modèle S : 512 objets

Modèle M : 2048 objets

Modèle L : 8192 objets

Modèle XL : 16384 objets

Translation d’adresse


Il est maintenant possible de créer une règle de redirection vers la même destination. Ce type de

translation permet de surpasser les règles de redirection des proxies.

Page 21 sur 32


RELEASE NOTE



PostgreSQL a été mis à jour en 8.3.14. Cette version corrige une vulnérabilité de dépassement de

mémoire (CVE-2010-4015). Cette vulnérabilité peut mener à un déni de service et potentiellement à

l’exécution de code.

MMoodduullee DDHHCCPP

Correction d’une vulnérabilité (CVE-2011-0997) qui peut mener à l’exécution de commande arbitraire par

l’utilisation de méta-caractères véhiculés dans un message DHCP.


MMootteeuurr AASSQQ

Machines détectées en mode bridge


Les machines détectées sur une interface non protégée d’un bridge ne sont plus ajoutées dans la table

des machines. Ceci permet l’utilisation d’un bridge pour la gamme VS des produits NETASQ Virtual

Appliance, sans saturation de la tables des hôtes.

Machine inconnue sur un bridge

Les paquets envoyés vers une machine inconnue d’un bridge ne sont plus transmis sur l’interface source.

Routage par politique et répartition de charge


L’identifiant de route est dorénavant conservé lors de la récupération de connexions en cas de

basculement ou de redémarrage.

Filtrage et interface Dialup


L’interface réseau est forcée pour les règles de filtrage autorisant le trafic à destination d’une interface

Dialup du Firewall UTM NETASQ.

HTTP

Le contexte applicatif HTTP a été modifié pour corriger une anomalie qui intervenait suite à l’interruption

de transfert de données. Certaines informations des journaux d’événements n’étaient pas correctement

mises à jour.

Page 22 sur 32


RELEASE NOTE

IInntteerrffaacceess RRéésseeaauuxx

Option « keep VLAN »


La gestion de l’option de conservation de VLAN a été corrigée. Les paquets réseau traversant un bridge

conservent dorénavant le tag VLAN.

Détection de boucle sur des interfaces VLAN


Une anomalie survenait sur le mécanisme de gestion des boucles réseau sur des interfaces VLAN. Le

moteur de prévention d’intrusion NETASQ ne réactivait pas l’interface VLAN qui était désactivée suite à la

détection d’une boucle réseau. Cette anomalie est corrigée.

De plus, le mécanisme de gestion de détection de boucle réseau a été amélioré. La désactivation de

l’interface VLAN par le moteur de prévention d’intrusion sur détection de boucle réseau est inactive par

défaut.

Serveur PPTP


La configuration d’une grande plage d’adresse ne provoque plus la saturation de la partition /var lors de

son activation.

Routage statique


Les routes statiques définies pour des interfaces désactivées ne seront plus injectées.

Equipement à l’arrêt et réponse ARP


Suite à une anomalie sur les interfaces réseaux, un firewall UTM NETASQ répondait aux requêtes ARP

alors qu’il était arrêté. Cette anomalie a été corrigée en désactivant les interfaces réseaux durant l’arrêt.

Les modèles concernés par cette correction sont U70, U120, U250 et U450.

TTrraannssllaattiioonn dd’’aaddrreessssee

Règle de MAP vers un seul port

L’utilisation d’une règle de MAP configurée avec un seul port translaté comme port source causait un arrêt

inattendu. Cette anomalie est corrigée.

PPrrooxxyy

Code d’erreur SMTP


Dans certains cas, des codes d’erreur transitoires (4xx) étaient transmis à la place de codes d’erreur

permanents (5xx). Cette anomalie est corrigée.

Page 23 sur 32


RELEASE NOTE

ClamAV

Les proxies pouvaient bloquer les fichiers de taille supérieure à 26Mo alors que la politique définissait une

action passe en cas d’échec d’analyse. Cette anomalie est corrigée.

Filtrage URL Optenet

Un potentiel arrêt inopiné du proxy en listant les domaines URL OPTENET a été corrigé.

SSyyssttèèmmee

Passerelle par défaut DHCP


Le Firewall UTM NETASQ peut maintenant récupérer par DHCP une passerelle par défaut qui ne fait pas

partie de la plage d’adresses pouvant être récupérées.



Une possible boucle infinie sur le traitement de commandes d’administration liées à la haute disponibilité a

été corrigée.

Active Update


Une potentielle fuite de descripteurs de fichiers a été corrigée. Cette anomalie pouvait causer la

suspension de la mise à jour de la base de signature antivirale.



Les signatures des applets java du portail d’authentification ont été mises à jour.

Authentification LDAP


En cas d’authentification réelle sur le serveur LDAP, il est maintenant possible d’authentifier les utilisateurs

dont le nom absolu (DN) ne contient pas le nom absolu racine (base DN).

Clé USB


Le problème d’échec de démarrage suite à l’insertion d’une clé USB formatée en UFS a été corrigé.


Groupe d’objets


En utilisant un groupe d’objets dans une route statique, l’affichage des objets du groupe ne montrait aucun

élément. Cette anomalie est corrigée.

Page 24 sur 32


RELEASE NOTE

Pertes des profils d’inspection en mode Global


Lors du déploiement de profils, les profils d’inspection par défaut pour le trafic entrant et le trafic sortant

étaient perdus. Cette anomalie est corrigée.


Affichage des événements


Un arrêt potentiel de l’application lors de l’affichage des événements a été corrigé.


SSyyssttèèmmee

Kaspersky

Mise à jour majeure du moteur antivirus Kaspersky. Une analyse heuristique complémentaire (passage en

version SDK 8) a été ajoutée.

Routage dynamique

Mise à jour majeure des modules de routage dynamique (ZebOS version 7.8.2071211).


SSyyssttèèmmee

CVE-2011-3207, CVE-2011-3210

OpenSSL passe en version 1.0.0e.

CVE-2011-2748, CVE-2011-2749

Deux failles pouvant conduire à un déni de service au sein du serveur DHCP ont été résolues.

NOTE

Le serveur DHCP est activé en configuration par défaut.

Page 25 sur 32


RELEASE NOTE

CVE-2011-2721

ClamAV a été mis à jour en version 0.97.2. Cette version corrige la vulnérabilité CVE-2011-2721.

NOTE

Le moteur ClamAV n’est pas activé en configuration par défaut.


PPrréévveennttiioonn dd’’iinnttrruussiioonn

Plugin SSL


Les algorithmes de chiffrement ECDHE sont autorisés.

Netbios CIFS

Un faux positif déclenché par l'implémentation SMB d'OSX Lion a été corrigé.

RRéésseeaauu Référence support : 28004

Les hôtes issus de deux sous-réseaux différents (via alias) sur le même bridge sont en mesure de communiquer.

PPrrooxxiieess Référence support : 25697

Les mails envoyés dépassant la taille maximum d’analyse antivirale ne sont plus bloqués.


Le proxy démarre désormais correctement même lorsque le certificat du module SLD est invalide.

FFiillttrraaggee UURRLL Référence support : 28173

Un problème dans la recherche de la catégorie de certaines URL a été corrigé. .

Page 26 sur 32


RELEASE NOTE

AAuutthheennttiiffiiccaattiioonn Référence support : 28858

Un problème pouvant conduire à un redémarrage du démon d’authentification a été corrigé.

Méthode LDAP


Dans le mode « authentification réelle», les échecs d’authentification des utilisateurs sur le portail ne font plus basculer le firewall sur le serveur LDAP de backup.

VVPPNN SSSSLL Référence support : 27728

Les paramètres des URL externes étaient perdus lors d’une redirection par le VPN SSL.

SSyyssttèèmmee Référence support : 28160

L’importation de clés privées au format DER a été améliorée.

Cryptologie

Un problème lié au chiffrement RC4 (ARCFOUR) sur les modèles NG-1000 et NG-5000 a été corrigé. Il

pouvait impacter le module d'authentification et le VPN SSL.


PPoorrttaaiill ccaappttiiff

Navigateur


Suite à la mise à jour Windows KB2585542, des problèmes d'ouverture du portail captif sont survenus,

avec plusieurs navigateurs. Cela est provoqué par un changement dans le format des paquets SSL

générés par ce correctif de Windows.

Page 27 sur 32


RELEASE NOTE

88..11..55..22 FFoonnccttiioonnnnaalliittééss

SSyyssttèèmmee

Mise à jour automatique de la licence

En prévision de l'expiration prochaine d'un nombre important de licences, une fonctionnalité a été ajoutée

lors du démarrage du Firewall. Dans le cas d’une fin de licence installée prévue au 12 mai 2012, le firewall

tente automatiquement de mettre à jour cette licence sur les serveurs NETASQ (licenceX.netasq.com).

Pour rappel, cette fin de validité concerne toutes les licences, qu’il s’agisse d’une option supplémentaire

payante ou non. Leur expiration provoque l'arrêt des fonctionnalités des modules du firewall soumis à ces

licences.

ATTENTION Dans le cas de l’utilisation de l’option de haute disponibilité, ce téléchargement automatique de la

licence n’est possible que pour le démarrage du firewall ACTIF et exclue donc les cas de

redémarrage du firewall passif, suite à une mise à jour par exemple.

NOTE

En cas d’échec de cette mise à jour automatique, il est fortement recommandé de réaliser cette

opération manuellement. Vous pouvez télécharger une licence renouvelée sur votre espace

Client et l'injecter via NETASQ Unified Manager.


IIPPSSeecc Référence support : 30980

Une régression était apparue dans la version 8.1.5 concernant l'injection de politiques d’exclusion IPSec

(bypass). Les règles sont dorénavant correctement prises en compte lors de l'activation du slot de

chiffrement.

Page 28 sur 32


RELEASE NOTE


SSyyssttèèmmee

OpenSSL CVE-2012-2110

Une faille dans la bibliothèque OpenSSL (lecture de fichiers DER/ASN.1) pouvait être exploitée lors de

l'importation de certificats corrompus ou de requêtes SCEP sur un serveur malveillant. Cette vulnérabilité a

été corrigée.

DHCP CVE-2011-2748, CVE-2011-2749, CVE-2011-4539

Plusieurs failles pouvant conduire à un de déni de service du serveur DHCP ont été résolues.

Net-SNMP CVE-2012-2141

Une faille pouvant conduire à un déni de service au sein de l’agent SNMP a été résolue. Cette vulnérabilité

nécessitait au préalable l’accès en lecture aux MIBs.

Faille de sécurité XSS

Une faille au sein du portail d’authentification pouvait potentiellement être exploitée par une attaque de

type XSS (cross-site scripting) lors d’une redirection (302) sur le portail d’authentification, avec certains

navigateurs.




Expiration du délai des connexions UDP unidirectionnelles

Les pseudo-connexions UDP avec informations ne transitant que dans un seul sens, n’expirent

dorénavant plus après 2 minutes d’activité. Cette limite ne concernait pas les connexions RTP et RTCP

ouvertes via les analyses SIP, MGCP et H323.

Références support : 29342-20855

Augmentation des valeurs par défaut pour l'alarme « Buffer Overflow » de l’inspection HTTP.

PPrrooxxyy Référence support : 30744

Un partage de ressource mémoire est désormais implémenté au profit du trafic HTTP. Les connexions

des proxies inactifs peuvent maintenant être allouées au proxy HTTP, afin d’augmenter le nombre de

connexions simultanées.

Page 29 sur 32


RELEASE NOTE

Proxy HTTP

L’échec du téléchargement d’un fichier au travers du proxy HTTP, génère maintenant systématiquement

une trace qui journalise cette coupure (connection interrupted).


Les connexions HTTP utilisant le mode "pipeline" et transmettant des requêtes en version 1.0 du

protocole, pouvaient être refusées par un serveur ICAP externe. Cette anomalie est dorénavant corrigée.

PPoorrttaaiill ccaappttiiff

Plusieurs correctifs de stabilité ont été réalisés sur le portail d’authentification.


Une possible fuite de mémoire lors de l'utilisation du portail d'authentification avec la méthode est

désormais corrigée.

SSyyssttèèmmee Référence support : 31150

La mise à jour des pilotes des cartes réseaux Intel® corrige une défaillance entrainant un possible

redémarrage inopiné du Firewall.


Dans le cas d’un boîtier livré avec un firmware 8.1.4 mais utilisant la version certifiée 8.0.1.1, la mise à

jour du firewall migre désormais correctement la licence.


En version 8.1.5.2, la session d'administration pouvait être interrompue, en cas de configuration antivirus

corrompue.

RRoouuttaaggee


Certaines adresses IP, utilisées dans les groupes de vérification d’une passerelle pouvait être tronquées

lors de leur utilisation.

VVPPNN SSSSLL Référence support 29103

L’envoi de requêtes HTTP (POST) volumineuses à travers le VPN SSL pouvait parfois être ralenti.

VVPPNN IIPPSSeecc Dans le cas d’un tunnel VPN IPsec négocié entre deux Firewalls, l’extinction de l’un d’eux ferme

désormais correctement le tunnel.

Page 30 sur 32


RELEASE NOTE


VVPPNN IIPPSSeecc Référence support : 35025

Le mécanisme de protection anti-rejeu sur le trafic chiffré est désormais paramétrable par la modification

du fichier de configuration (ConfigFiles/VPN/<slot>). La taille de la fenêtre, par défaut de 32 paquets, peut

être étendue à "2040" (par pas de 8).

Exemple :

[Global]

ReplayWSize=32


SSyyssttèèmmee

DHCP CVE-2012-3571, CVE-2012-3954

Plusieurs anomalies pouvant conduire à un arrêt inopiné du serveur DHCP et deux fuites mémoire ont été

résolues (notamment CVE-2012-3571, CVE-2012-3954).

NOTE

Le serveur DHCP ne peut être contacté que depuis une interface dite protégée. Il ne peut être

joint depuis une interface publique.

Montée de version ClamAV en 0.97.5

Le moteur ClamAV n’est pas activé en configuration par défaut sur les pare-feux NETASQ. Dans le cas où

cette fonctionnalité est utilisée, il est recommandé de mettre à jour. Cette nouvelle version améliore

notamment le comportement du moteur antivirus ClamAV face à des possibles tentatives d’évasion de

l’analyse antivirale.

http://www.clamav.net/release-info/bugs/0.97.5

http://www.clamav.net/release-info/bugs/0.97.5

Page 31 sur 32


RELEASE NOTE



Références support 33654 – 33456

Paramètres de durée de vie des requêtes SIP

Lorsqu’un serveur de contrôle d’appel envoyait une information d’expiration de la communication dans un

délai supérieur à la durée de vie par défaut d'une requête SIP, le Firewall n’acceptait plus la réponse qui

permettait de fermer correctement la communication SIP.

La durée de vie des sessions SIP, réglée par défaut à 60 secondes, est désormais ajustable de 10s à

3600s, en modifiant le fichier de configuration par commande NETASQ CLI serverd.

Référence support 34656

Analyse SIP

Un problème dans l'analyse SIP sur le protocole TCP pouvant potentiellement provoquer un blocage du

firewall, a été corrigé.

SSyyssttèèmmee Référence support 33928

Agent SNMP

Le fait d’interroger l’agent SNMP (uniquement autorisé par un accès paramétré) sur des éléments non

inclus dans les tables de Mibs NETASQ, ne provoque plus de redémarrage de l’agent.

AAuutthheennttiiffiiccaattiioonn Références support 33283 - 34641

Dans le cas de l’utilisation d’un annuaire Microsoft Active Directory, et de la méthode LDAP en mode

realbind, le firewall ne permet plus d’authentification sans saisie d’un "mot de passe". En effet, les

serveurs d’authentification Microsoft AD peuvent autoriser ce type d’authentification considérant

l’utilisateur comme anonyme.

MMiiggrraattiioonn Référence support 35391

Un problème apparaissait lors d’une mise à jour d’un firmware antérieur à la 8.1.2. Les signatures des

contextes ajoutées en version 8.1.2 étaient mises en configuration par défaut (action bloquer, niveau

majeur). Cela pouvait notamment entraîner le blocage des navigateurs Internet Explorer, suite à l’ajout

des signatures suivantes :

o http_client_header_useragent:24="MSIE : Internet Explorer 6 & 7 blocked"

o http_client_header_useragent:52="MSIE : Internet Explorer 8 blocked"

oo http_client_header_useragent:53="MSIE : Internet Explorer blocked (all versions)"

Page 32 sur 32


RELEASE NOTE

88..11..77 PPrroobbllèèmmeess ccoonnnnuuss

RRéésseeaauu Référence support : 14891

Les VLANs attachés à une interface Ethernet désactivée ne peuvent pas fonctionner correctement si l’interface parente est configurée au sein du DHCP. Pour résoudre ce problème, il faut attacher une adresse IP statique à l’interface parente.


Des problèmes de lecture de la table ARP peuvent survenir lorsque la première interface d’un bridge est désactivée. Après activation du réseau, un hôte de substitution peut-être relié à l’interface désactivée, jusqu’à ce qu’il soit détecté par un autre. Pendant ce temps, il peut bloquer le firewall à partir son propre transfert de trafic. La solution est d’activer l’interface (même si celle-ci n’est pas branchée/utilisée).

AAuutthheennttiiffiiccaattiioonn

Active Directory


Lorsqu’un hôte inscrit dans la base objets est représenté par son nom de domaine, le firewall ne permet pas de récupérer la liste des utilisateurs correctement.

VVPPNN IIPPSSeecc Référence support : 17873

Avant d’ajouter ou de supprimer une politique de bypass, vous devez avoir au préalable activé/désactivé la politique existante. Il faut rafraîchir la page une fois l’opération terminée, afin de garantir le bon fonctionnement de la politique.

OWA Premium 2003 avec Internet Explorer


Si l’ « erreur 404 Introuvable » apparaît lorsque vous tentez de répondre à un mail ouvert dans une nouvelle fenêtre, vous pouvez vous référer aux solutions suivantes :

Cliquez directement sur « Répondre »

Clic droit : choisir « Répondre »

SSyyssttèèmmee

Dépassement de tampon


Le message « more tty-level Buffer Overflow » peut parfois apparaître sur la console des modèles U1100, U1500 et U6000. Cela signifie que certains caractères ont été saisis trop rapidement pour que le firewall ne les lise.

Documents

NETASQ Firewall UTM Version 8.1