4. Correctifs¶
4.1. Eve-log tronqués automatiquement si taille > 65536 octets¶
Jusqu’à la V2.5.3.104, le moteur de détection tronque automatiquement les eve-logs dont la taille est supérieure à 65536 octets et le fait de façon brutale ce qui corrompt l’eve-log suivant.
A partir de la V2.5.3.105, cette troncature est faite de façon correcte. Conséquence, l’eve-log tronqué n’est pas traitable mais ne corromps plus l’eve-log suivant.
4.2. Transactions TCP et fichiers extraits (« unknown »)¶
Les sessions TCP qui fonctionnent de la manière suivante empêchent le GCap de remonter un fichier reconstruit correctement au GCenter :
Initial 3-way handshake,
Envoi du fichier dans son intégralité avec le drapeau PUSH sans ACK intermédiaire,
ACK de l’ensemble des segments et fermeture de la connexion par RST.
Ce rapport erroné perturbe le fonctionnement du GCap qui n’envoie pas correctement le fichier au GCenter.
Un correctif partiel était présent dans les versions supérieures ou égales à V2.5.3.104 (fichier « unknown »).
Ce problème est complètement corrigé en V2.5.3.105.
4.3. Utilisation de protocole RELP et ajout d’une file d’attente entre GCap et GCenter¶
Lors d’un problème de communication entre le GCap et le GCenter, l’envoi des journaux système pouvait être perturbé (perte d’informations).
L’utilisation du protocole RELP et ajout d’une file d’attente pour l’envoi de ces journaux permet de pallier ce problème en V2.5.3.105.
4.4. Protection du mécanisme d’authentification (anti-bruteforce)¶
Le compteur de tentatives d’authentification est incrémenté dès qu’une tentative d’ouverture de session a lieu, même si aucun mot de passe n’est entré par l’utilisateur.
Ce problème est complètement corrigé en V2.5.3.105.
4.5. Problème de parsing du protocole HTTP¶
Certaines requêtes HTTP analysées par le moteur Sigflow ne sont pas correctement parsées ce qui entraîne une perte d’informations dans les données remontées au GCenter par le GCap.
La mise à jour du parseur corrige ce problème dans en V2.5.3.105.
4.6. Problème lors du rejeu de certains fichiers pcap¶
Dans certains cas le rejeu de fichiers pcap au travers de l’interface monvirt ne s’effectue pas correctement à cause d’un problème de MTU.
La possibilité de configurer la MTU de l’interface monvirt en V2.5.3.105 corrige ce problème.
4.7. Problème lors du rejeu de fichiers pcap avec le multi-tenancy activé¶
La fonction « replay pcap » n’est pas opérationnelle lorsque le multi-tenancy par interface est activé.
Ce problème est corrigé en V2.5.3.105.
4.8. Affichage de l’état du GCap en « undetermined » dans l’interface de gestion du GCenter¶
L’affichage erroné de l’état du GCap dans l’interface du GCenter peut être causée par différents problèmes.
L’une des causes est le crash d’un service (gcap-heartbeat) qui n’est pas redémarré.
Le changement dans la gestion des services du GCap avec la mise en place d’un redémarrage automatique des services corrige ce problème en V2.5.3.105.
4.9. Affichage erroné de l’état des interfaces de monitoring¶
Dans certains cas, l’état des interfaces de monitoring ne s’affiche pas correctement dans l’utilitaire de configuration. Ce problème est corrigé en V2.5.3.105.