IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.10.1
Système
Proxy SSL
Référence support 74927
Afin d'éviter des problèmes de compatibilité avec certains logiciels embarqués ou certains navigateurs (sous iOS 13 et macOS 10.15) lors des connexions SSL, la taille des clés de certificats générés par le proxy SSL a été augmentée à 2048 bits.
VPN IPsec
Référence support 73609
Le certificat d'un correspondant VPN IPsec s'affiche désormais dans l'interface d'administration propre au firewall même s'il a été déployé via SMC.
Références support 74551 - 74456
Une anomalie dans le fonctionnement de la fonction key_dup_keymsg() d'IPsec provoquant l'erreur "Cannot access memory at address" et entraînant un arrêt inopiné du firewall a été corrigée.
VPN IPsec (IKEV1 + IKEv2)
Référence support 73584
Dans une configuration utilisant à la fois des correspondants IKEv1 et IKEv2, l'utilisation des champs UID (LDAP) et CertNID pour l'authentification est prise en compte et les contrôles de droits des utilisateurs à établir un tunnel IPsec ne sont ainsi plus ignorés.
Référence support 72290
Sur un firewall regroupant des correspondants IKEv1 et IKEv2, les groupes d'un utilisateur établissant un tunnel nomade IKEv1 avec authentification via certificat et XAUTH sont à nouveau pris en compte.
Référence support 74425
Un paramètre pouvait empêcher le mode ResponderOnly de fonctionner correctement lorsque le mécanisme de Dead-Peer-Detection (DPD) s'activait. Cette anomalie a été corrigée.
Référence support 75303
Un nombre important de redémarrages du moteur de routage dynamique Bird (bird pour IPv4 ou bird6 pour IPv6) provoquait un défaut sur le démon IKE, empêchant alors la négociation des tunnels VPN IPsec. Cette anomalie a été corrigée.
VPN IPsec (IKEv2 / IKEv1 + IKEv2)
Référence support 74391
Le rechargement automatique d'une CRL de très grande taille (plusieurs dizaines de milliers de certificats révoqués) n’entraîne plus de redémarrage en boucle du moteur de gestion des tunnels IPsec IKEv2.
VPN IPsec (IKEv2 / IKEv1+IKEv2)
Référence support 68796
Dans une configuration utilisant une politique IPsec IKEv2 ou mixant IKEv1 et IKEv2, le firewall n'envoyait pas de masque réseau au client VPN IPsec Stormshield lors de l'établissement d'un tunnel mobile (nomade) en mode config. Le masque réseau choisi arbitrairement par le client IPsec pouvait alors entrer en conflit avec la configuration de réseau local du poste client.
Le firewall envoie désormais systématiquement le masque réseau /32 (255.255.255.255) au client VPN IPsec pour un tunnel mobile (nomade) en mode config.
Haute Disponibilité
L'ajout d'un alias sur une interface réseau existante ne provoque plus de bascule d'un nœud à l'autre du cluster.
Haute disponibilité et supervision
Référence support 73615
Un risque de fuite mémoire a été corrigé dans le cas de configurations en Haute Disponibilité avec la supervision activée.
Configuration initiale par clé USB
La mise à jour de firmware via clé USB fonctionne de nouveau correctement.
Authentification par certificats
Un contrôle a été ajouté sur le contenu de certains paramètres utilisés lors de la création du cookie.
Port série - Éditeurs de fichiers
Référence support 72653
Une anomalie d'affichage lors de l'utilisation des éditeurs de fichiers Joe / Jmacs via le lien série a été corrigée.
SNMP
Référence support 71584
L'utilisation de la valeur snmpEngineBoots a été modifiée afin de se conformer à la RFC 3414.
Référence support 72984
L'exécution d'une opération SNMP par un utilisateur présent dans une des listes blanches de la configuration du protocole SNMP ne génère plus une alarme "Nom d'utilisateur SNMP interdit".
Démon SLD
Références support 69577 - 73026
L'exécution du processus SLD pouvait entraîner une surconsommation des ressources mémoire. Cette anomalie a été corrigée.
Filtrage et NAT
Référence support 76346
Activer l'option "Protéger des attaques SYN flood" générait une erreur à la validation de l'édition d'une règle de filtrage, empêchant ainsi d'utiliser l'option. Cette anomalie a été corrigée.
Réseau
Routage statique
Référence support 72938
L’usage de directives de routage par politique (PBR) est désormais prioritaire par rapport au choix de préserver le routage initial sur l’interface d’entrée d’un bridge. Cette nouvelle priorité ne s'applique pas aux réponses DHCP lorsque l'IPS ajoute automatiquement de préserver le routage initial.
Référence support 72508
Un objet routeur avec répartition de charge configuré en tant que passerelle par défaut sur le firewall pouvait outrepasser une route statique. Ce phénomène initiait depuis le firewall des connexions avec une adresse IP source incorrecte. Cette anomalie a été corrigée.
Interface Web d'administration
Routage statique
Références support 73316 - 73201
Dans le module Réseau > Routage, il est à nouveau possible de sélectionner l'interface IPsec lors de la définition d'une route statique.
Caractères spéciaux
Références support 68883 - 72034 - 72125 - 73404
Une anomalie dans la conversion en UTF-8 de caractères spéciaux (caractères asiatiques ou accentués par exemple) pouvait générer des erreurs XML et empêcher l'affichage des modules impactés (Filtrage, NAT, Utilisateurs, ...). Cette anomalie a été corrigée.
Certificats et PKI
Référence support 74111
L'affichage du contenu d'une CRL comportant plusieurs milliers de certificats révoqués pouvait ne pas aboutir selon le modèle de firewall. Cette anomalie a été corrigée et seuls les 1000 premiers éléments sont affichés.
Sauvegardes automatiques - Cloud Backup
Référence support 73218
La restauration d'une sauvegarde de configuration depuis Cloud Backup ne fonctionnait plus depuis la version 3.5.0. Cette anomalie a été corrigée.
Proxy
Référence support 71870
Le proxy ne s'arrête plus de manière inopinée lorsque le proxy SSL est utilisé et que le nombre de connexions simultanées maximum est atteint sur le firewall.
Référence support 74427
En cas d'expiration de l'autorité de certification du proxy SSL, le firewall ne tente plus de générer inutilement de nouvelles clés lors de certains événements (rechargement de la politique de filtrage, rechargement de configuration réseau, changement de date du firewall...), ce qui entraînait une consommation CPU excessive.
Référence support 66508
Le proxy ne s'arrête plus de manière inopinée lorsqu'une analyse d'entête HTTP échoue.
Références support 70598 - 70926
Le comportement du Proxy HTTP a été modifié afin de ne plus surcharger le processus SLD du firewall dans le cas où un trop grand nombre de requêtes redirigeaient vers le portail d'authentification.
Références support 70721 - 74552
La consommation de la mémoire en cas d'utilisation du proxy a été optimisée.
Prévention d'intrusion
Routage statique
Référence support 73591
L'activation du mode verbeux du moteur de prévention d'intrusion associée à l'analyse de certains protocoles (DCE RPC, Oracle, ...) n'entraîne plus de potentiels redémarrages inopinés du firewall.
Protocole SIP
Références support 74771 - 75108
Lorsqu'un paquet SIP émis ainsi que sa réponse contenaient un champ avec une adresse IP anonyme et que l'alarme 465 "SIP : Adresse anonyme dans la connexion SDP" était configurée en "Autoriser", le firewall redémarrait de manière inopinée. Cette anomalie a été corrigée.
Protocole HTTP
L'analyse effectuée par le plugin HTTP ne génère plus d'alarme et n'entraîne plus de blocage de flux lorsqu'un champ de l'entête HTTP est vide, notamment dans le cas où un message SOAP est encapsulé dans une requête HTTP.
Protocole TDS
Un faux positif pouvait être remonté par le moteur de prévention d'intrusion lors d'une analyse de paquets de flux de données tabulaires (TDS - Tabular Data Stream).
Trusted Platform Module (TPM)
Référence support 76181
La récupération d'une clé de chiffrement stockée sur le TPM par le moteur de gestion des tunnels IPsec IKE2 / IKEv1+IKEv2 ne provoque plus de fuite mémoire.
Référence support 76181
Dans certains cas, une anomalie dans une fonction pouvait amener à une pénurie de handle (ou identifiant d'objet) utilisé notamment pour s'authentifier sur le TPM, empêchant alors de communiquer avec ce dernier. Cette anomalie a été corrigée.