Aller au contenu
Avanet
Sophos Firewall OS (SFOS) Update v17.5 - MR3 publié

Sophos Firewall OS (SFOS) Update v17.5 - MR3 publié

12. FÉVRIER 2019

Sophos a publié la version 17.5 MR3 de Sophos Firewall OS (SFOS). Vous pouvez télécharger immédiatement le nouveau firmware depuis le portail MySophos.

Dans les prochains jours, le nouveau firmware apparaîtra également automatiquement dans le WebAdmin du firewall et pourra être installé en un seul clic.*

Remarque : pour plus d’informations sur la procédure de mise à jour, consultez : Sophos Firewall: How to upgrade the firmware.

*Seuls les clients ayant souscrit Sophos Enhanced Support peuvent profiter de cette méthode plus pratique. Sophos Enhanced Support est automatiquement inclus dans tous les bundles (EnterpriseProtect, EnterpriseGuard, TotalProtect, FullGuard), mais peut également être acheté séparément.

Qu’est-il advenu de MR2 ?

SFOS 17.5 MR2 a été publié discrètement, exclusivement pour NSS Labs. NSS Labs a soumis le XG Firewall à une nouvelle série de tests, avant que la MR3 ne soit rendue disponible afin que tout le monde puisse bénéficier des nouvelles fonctionnalités et corrections de bugs.

Prise en charge APX

Lorsque la nouvelle série de points d’accès APX de Sophos est sortie en juillet 2018, ceux-ci ne pouvaient initialement être utilisés qu’avec Sophos Central Wireless. Sophos avait déjà annoncé à l’époque que le support pour XG Firewall suivrait en décembre 2018. Aujourd’hui, avec deux mois de retard, les points d’accès APX peuvent enfin être gérés également via XG Firewall. 🎉

Sophos XG v17.5 MR3 - APX 740 sur XG Firewall

Nous avons immédiatement testé le support XG Firewall avec notre APX 740. Comme il était jusque-là géré via Central, nous avons d’abord dû supprimer cette association. Ensuite, le point d’accès est apparu immédiatement sur le XG Firewall. L’association a fonctionné sans le moindre problème. 😅

Si vous utilisez un XG Firewall et avez besoin de nouveaux points d’accès, nous vous recommandons désormais d’opter uniquement pour la série APX. Pour les firewalls SG équipés du système UTM, les modèles AP classiques restent disponibles.

Vérification des destinataires email via Active Directory

Maintenant que le moteur UTM tourne également sur XG Firewall, les dernières fonctionnalités manquantes sont progressivement intégrées à XG. Dans SFOS v17.5.3, il est possible d’effectuer une vérification des destinataires via une requête Active Directory. Concrètement, la boîte aux lettres ou l’adresse email est vérifiée sur le serveur de messagerie avant que le message ne soit accepté.

Support Airgap

Airgap est une fonctionnalité déjà annoncée avec SFOS 17.5. Grâce à elle, les XG Firewalls peuvent désormais être licenciés et mis à jour hors ligne. Jusqu’ici, il était déjà possible de mettre à jour le firmware hors ligne, mais les mises à jour de patterns ne sont possibles qu’à partir de cette version.

Interface bridge - support client DHCP

Les interfaces de type bridge peuvent désormais obtenir des adresses IPv4 et IPv6 ainsi que des informations DNS via DHCP.

Corrections de bugs

  • NC-29354 [API] Response for xmlapi get for SyslogServer is missing some value
  • NC-29808 [API] API Authentication should be case insensitive
  • NC-35920 [API] Wrong XML is generated for client-less users when username added with capital letter
  • NC-30616 [Authentication] Guest username/id and passwords are changed after migration
  • NC-33449 [Authentication] Group name showing under “undefined” during AD group import
  • NC-35923 [Authentication] XML export of guest users contains wrong information of user validity
  • NC-38607 [Authentication] Provide a JSON config download for GSuite in the XG UI
  • NC-39026 [Authentication] Chromebook Support port is missing in port validation opcode
  • NC-39106 [Authentication] Access_server is restarted due to missing service heartbeat
  • NC-30365 [Base System] Fix error message for new firmware check on auxiliary device
  • NC-37824 [Base System] SFM/CFM - at device dashboard AV version shows as 0
  • NC-38546 [Base System] Fix log message for scheduled backup and update message
  • NC-39177 [Base System] Garner - sigsegv_dump: Segmentation Fault
  • NC-39179 [Base System] Customization of captive portal not working
  • NC-39688 [Base System] Virtual firewall reboots after applying license
  • NC-40157 [Base System] Garner service stopped with sigsegv_dump: Segmentation Fault
  • NC-40268 [Base System] Not able to access HA device via Central Management
  • NC-38469 [Email] Increase csc monitor time for avd service
  • NC-38521 [Email] Add support for recipient verification via AD using STARTTLS
  • NC-39827 [Email] Improve documentation for mail spool and SMTP policies
  • NC-35434 [Firewall] csc worker gets killed causing errors in port forwarding
  • NC-35521 [Firewall] Import of exported config does not recreate the device access permissions correctly
  • NC-38318 [Firewall] XML change and revert details are not generated for “firewall group” entity when create firewall rule from SFM device Level
  • NC-39316 [Firewall] Group edit fail when user edit existing group and new name have double space
  • NC-39605 [Firewall] Modifying one time schedules fails, if timer has already triggered
  • NC-40080 [Firewall] Improve UI and help for group creation based on EAP feedback
  • NC-29296 [IPsec] Charon doesn’t reconnect in all cases
  • NC-29365 [IPsec] IPSec tunnel fails when there are whitespaces at the begin or end of the PSK
  • NC-30599 [IPsec] Checkboxes on IPSec UI pages do not work using Safari
  • NC-38824 [IPsec] Spelling error in message when IPSec cannot be established
  • NC-38946 [IPsec] Child SA going down randomly with Checkpoint IPSec connection
  • NC-38603 [nSXLd] Custom URL web category list stopped working after updating to v17.1MR2
  • NC-38958 [Reporting] Smart search filter is not working properly for “is not” filter in log viewer
  • NC-39530 [Reporting] Logo is too close to the name of the report page
  • NC-39770 [Reporting] ‘Context’ column getting removed after click on Reset to default for web content policy logs
  • NC-39479 [Sandstorm] Dashboard message not correct for Single Scan Avira with Sandstorm
  • NC-35750 [SecurityHeartbeat] Heartbeat widget not displayed on slave node when registered
  • NC-38778 [SNMP] Unable to fetch the value for particular OID in SNMP server
  • NC-35490 [Synchronized App Control] Application are not classified in Synchronized Application Control list
  • NC-32342 [UI Framework] Restrict number of connection from particular IP at a particular time
  • NC-39078 [UI Framework] Update Apache Commons Collections (CVE-2015-7501, CVE-2015-6420, CVE-2017-15708)
  • NC-39081 [UI Framework] Update Apache Commons FileUpload (CVE-2016-3092, CVE-2016-1000031)
  • NC-39910 [UI Framework] Policy Tester is not working via Central Management
  • NC-38295 [WAF] WAF Rules not working after HA takeover
  • NC-31388 [Web] URL Category Lookup doesn’t allow punycode-encoded domain names
  • NC-31485 [Web] Skipping sandbox check is not being exported in the XML for WebFilterException
  • NC-35585 [Web] Only 10 cloud applications are listed if the screen resolution is 2560*1440 or higher
  • NC-36320 [Web] AppPolicy becomes DenyAll if all “characteristics” and any classification selected
Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.