IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.11.1 LTSB
Système
VPN IPsec (IKEv1)
Référence support 75824
Lors du basculement d’un correspondant distant vers son correspondant de secours (désigné en tant que "Configuration de secours"), un redémarrage inopiné du démon IKE pouvait survenir entraînant ainsi la fermeture des tunnels IPsec ouverts. Cette anomalie a été corrigée.
Référence support 77358
Lors de l'établissement d'un tunnel VPN IPsec avec un utilisateur distant (appelé également mobile ou nomade), la phase 1 de la négociation IKE pouvait échouer du fait que les paquets fragmentés reçus n'étaient pas reconstruits correctement. Cette anomalie a été corrigée.
Référence support 77679
Dans une configuration IPsec utilisant un correspondant mobile avec authentification par certificat et pour lequel aucun identifiant de correspondant n'est précisé, le message de passage en mode expérimental n'est plus affiché à tort.
Référence support 65964
Le moteur de gestion IPsec (Racoon) utilisé pour les politiques IKEv1 n’interrompt plus la négociation d'une phase 2 avec un correspondant lorsque la négociation d'une autre phase 2 avec le même correspondant échoue.
VPN IPsec IKEv2 ou IKEv1 + IKEv2
Référence support 77722
La présence d'une même Autorité de Certification de confiance avec CRL à la fois dans la politique IPsec locale et la politique IPsec globale ne provoque plus un échec de l'activation de la configuration IPsec du firewall.
Référence support 77097
Des optimisations ont été apportées dans la gestion du processus d’authentification pour l’établissement d’un tunnel VPN IPsec dans une configuration où plusieurs annuaires LDAP sont déclarés et que le temps de réponse d’un ou plusieurs de ces annuaires LDAP est anormalement élevé.
Ces optimisations permettent désormais de ne plus bloquer les tentatives d'établissement d’autres tunnels pendant cette phase d’attente.
VPN IPsec - Interfaces virtuelles
Référence support 77032
Lors du déchiffrement de trafic IPv4 transitant dans des tunnels IPsec IPv6 au travers d'interfaces virtuelles, le firewall ne cherche plus à tort les routes de retour parmi les interfaces virtuelles IPv6. Ces paquets IPv4 sont donc désormais correctement échangés à chaque extrémité du tunnel.
VPN IPsec - Logs
Références support 69858 - 71797
Les chaînes de texte envoyées vers le service de gestion des logs du firewall, et qui dépassent la taille autorisée, sont désormais correctement tronquées et ne contiennent plus de caractères n'appartenant pas au jeu UTF-8. Cette anomalie provoquait un dysfonctionnement de la consultation des logs au travers de l'interface Web d'administration.
De plus :
- La taille maximale d'une ligne de log est désormais de 2048 caractères,
- La taille maximale d'un champ texte contenu dans une ligne de log est désormais de 256 caractères.
VPN SSL
Référence support 76762
Le champ Réseaux ou machines accessibles était utilisé à tort dans le calcul du nombre de clients VPN SSL possibles, faussant ainsi le calcul. Cette anomalie a été corrigée.
VPN SSL Portail
Références support 77168 - 77132 - 77388
Le démon SLD pouvait redémarrer et déconnecter tous les utilisateurs lorsque deux d'entre eux étaient connectés en VPN SSL Portail et accédaient à la même ressource.
Référence support 77062
Bien que le nombre maximal de serveurs accessibles via SSL VPN Portail soit limité, il était possible de déclarer des machines supplémentaires. Cela entraînait alors des redémarrages en boucle du moteur d'authentification du firewall. Il n'est désormais plus possible de créer de serveurs au delà de cette limite, qui dépend du modèle de firewall.
En savoir plus
GRETAP et IPsec
Référence support 76066
Dans une configuration comportant une interface GRETAP dialoguant au travers d'un tunnel IPsec, la commande système ennetwork -f ne provoque plus un redémarrage en boucle du firewall.
Haute disponibilité - Agrégat de liens
Dans une configuration en haute disponibilité, le mécanisme de basculement d'un nœud actif en état passif a été amélioré afin de ne plus renégocier les liens des agrégats (LACP) lorsque :
- L'option Redémarrer toutes les interfaces pendant le basculement (à l'exception des interfaces HA) est active (module Configuration > Système > Haute disponibilité, zone Configuration avancée, cadre Configuration du basculement),
- et - - Le paramètre LacpWhenPassive est actif avec une valeur à "1" ( fichier /usr/Firewall/ConfigFiles/HA/highavailability Global LACPWhenPassive <0|1>).
Référence support 76748
Dans une configuration en haute disponibilité, le basculement d'un nœud actif en état passif ne désactive plus à tort une interface VLAN lorsque celle-ci est contenue dans un agrégat de liens (LACP).
Haute disponibilité - VPN IPsec (politique IKEv2 ou politique IKEv1 + IKEv2)
Dans les configurations en haute disponibilité appliquant une politique IPsec IKEv2 ou IKEv1+IKEv2, une anomalie pouvant entraîner une détection inappropriée de rejeu des numéros de séquence ESP ainsi que des pertes de paquets après deux bascules au sein du cluster. Cette anomalie a été corrigée.
Haute disponibilité - Déclenchement de la bascule d'un nœud
Le processus de test permettant aux nœuds d'un même cluster de s'assurer de la disponibilité de l'un et de l'autre a été amélioré afin d'éviter de déclencher à tort la bascule du nœud passif en état actif et de se retrouver dans une configuration avec deux nœuds actifs.
Haute disponibilité - Filtrage et NAT - Objets temps
Références support 76822 - 73023 - 76199
Afin de ne plus provoquer d'instabilités réseau dans le cadre de clusters en haute disponibilité, des optimisations ont été apportées dans la réévaluation des règles de filtrage lors du changement d'état d'un objet temps utilisé dans l'une ou plusieurs de ces règles.
Supervision des passerelles
Références support 71502 - 74524
Lors du démarrage du mécanisme de supervision des passerelles, si l'une des passerelles utilisées dans les règles de filtrage passait d'un état interne « à priori non joignable » (un test de disponibilité échoué) à l’état interne « joignable », cette passerelle restait néanmoins désactivée pour le filtrage. Cette anomalie a été corrigée.
Un événement est également désormais enregistré dans les logs lors de ce changement d'état de la passerelle.
Référence support 75745
Sur un firewall soumis à une forte charge et utilisant une configuration avec de nombreuses passerelles, le mécanisme de supervision des passerelles pouvait ne pas recevoir les réponses aux tests de disponibilité suffisamment rapidement. Dans ce cas, ce mécanisme réémettait les requêtes de disponibilité de manière continue, puis redémarrait sans émettre de notification (log ou événement système). Cette anomalie a été corrigée.
Référence support 75745
Des problèmes de redémarrage inopiné du mécanisme de supervision des passerelles ont été résolus.
Référence support 76802
Dans certaines configurations, le processus faisant appel au moteur de supervision des passerelles pouvait consommer une quantité excessive de ressources CPU du firewall. Cette anomalie a été corrigée.
Proxy SSL
Référence support 77207
Une anomalie dans le mécanisme de cache des décisions SSL (déchiffrer, ne pas déchiffrer...) en présence de connexions simultanées avec des adresses IP destination identiques et des ports différents, pouvait provoquer une corruption de ce cache et aboutir à un blocage du proxy SSL. Cette anomalie a été corrigée.
Référence support 78044
Lorsqu’une tentative de connexion vers un serveur SSL non joignable aboutissait directement à l’émission d’un message d’erreur par le proxy SSL, cette connexion n’était pas correctement clôturée par le firewall. La multiplication de ces connexions considérées à tort comme actives aboutissait alors à un fort ralentissement des flux SSL légitimes. Cette anomalie a été corrigée.
Proxy SMTP
Référence support 77207
Dans une configuration utilisant le proxy SMTP dans une règle de filtrage SMTP :
- En mode d'inspection de sécurité "Firewall",
- ou - - En mode d'inspection de sécurité "IDS" ou "IPS" mais sans analyse protocolaire SMTP (module Protection applicative > Protocoles > SMTP > onglet IPS : case Détecter et inspecter automatiquement le protocole décochée),
une coupure de connexion à l'initiative du serveur SMTP précédée d'un message serveur SMTP/421 provoquait un blocage du proxy SMTP. Cette anomalie a été corrigée.
Objets machine globaux inclus dans un objet routeur
Référence support 71974
Le renommage d'un objet machine global inclus dans un objet routeur (local ou global) est désormais correctement pris en compte au sein de cet objet routeur.
Mode ANSSI "Diffusion Restreinte"
Lors de l'activation du mode ANSSI "Diffusion Restreinte" (module Système > Configuration > onglet Configuration générale), un mécanisme vérifie la compatibilité des groupes Diffie-Hellmann (DH) utilisés dans la configuration des correspondants IPsec avec ce mode. Cette liste de groupes DH autorisés a été mise à jour et seuls les groupes DH 19 et 28 peuvent être utilisés.
Firewalls modèle SN6000
Références support 75577 - 75579
Dans des cas rares, un message indiquant que des modules d'alimentation sont manquants peut être envoyé à tort sur un firewall modèle SN6000 équipé d'un module IPMI en version 3.54. Afin de pallier ce problème, un mécanisme de redémarrage du module IPMI a été mis en place.
Désactivé par défaut, ce mécanisme n'affecte pas le trafic traversant le firewall mais rend temporairement indisponible le rafraîchissement des informations des composants. Ce mécanisme nécessite un délai d'environ cinq minutes pour arriver à son terme, comprenant le temps de redémarrage du module IPMI ainsi que le temps nécessaire pour rafraîchir les informations des composants.
Ce nouveau paramètre est uniquement modifiable à l'aide de la commande CLI / SSH :
setconf /usr/Firewall/ConfigFiles/system Monitord EnableRestartIPMI <0|1>
Pour plus d'informations concernant la syntaxe de cette commande, veuillez vous référer au Guide de référence des commandes CLI / SSH.
TPM
Référence support 76664
Lors de la révocation d'un certificat, le fichier associé portant l'extension .pkey.tpm est désormais correctement supprimé.
Routeurs
Références support 75745 - 74524
Lorsqu'un firewall a redémarré, le service de supervision des routeurs tient désormais correctement compte du dernier état connu de ces routeurs.
Sauvegardes automatiques
Référence support 75051
Le mécanisme de vérification des certificats des serveurs de sauvegardes automatiques a été modifié suite à l'expiration du certificat précédent.
Connexion depuis Stormshield Management Center (SMC)
Référence support 76345
Lors d'une première connexion depuis SMC à l'interface Web d'administration d'un firewall en version 3.7 ou supérieure, la récupération de l'archive contenant l'intégralité des données de l'interface pouvait échouer, empêchant alors toute connexion au firewall depuis SMC. Cette anomalie a été corrigée.
Configuration des annuaires
Référence support 76576
Le port utilisé par défaut pour accéder au serveur LDAP de secours est désormais identique au port utilisé par le serveur LDAP principal.
Supervision des certificats et des CRL
Référence support 76169
Dans le cas d'un cluster HA, le mécanisme de supervision de la date de validité des certificats et des CRL sur le firewall passif n’entraîne plus à tort l'émission toutes les 10 secondes d'événements système de type Validité de certificat passif (événement 133) ou Validité de CRL passive (événement 135).
Stockage local
Référence support 75301
Un firewall dont la carte SD (et donc la partition de stockage des logs) était endommagée pouvait redémarrer en boucle. Cette anomalie a été corrigée.
Configuration initiale par clé USB
Référence support 77603
Une anomalie dans la gestion des caractères spéciaux (espaces, "&"...) lors de l'import d'un fichier CSV pouvait empêcher la prise en compte de certaines données (exemple : certificats dont le nom contient des espaces). Elle a été corrigée.
Analyse sandboxing dans le proxy
Référence support 77199
Un risque de fuite de mémoire lors de l'utilisation du moteur d'analyse sandboxing dans le proxy a été corrigé.
Prévention d'intrusion
Protocole NB-CIFS
L'analyse de flux NB-CIFS issus de machines Microsoft Windows ne remonte plus à tort l'alarme "Protocole NBSS / SMB2 invalide" (alarme nb-cifs:157).
Protocole LDAP
L'authentification via SASL (Simple Authentication and Security Layer) supporte dorénavant le protocole NTLMSSP, ce qui ne génère plus d'erreurs lorsqu'un flux LDAP utilisant ce protocole est analysé.
Protocole NTP
Les paquets NTP présentant un complément origin timestamp égal à zéro ne déclenchent plus à tort l'alarme "NTP : valeur invalide" (alarme ntp:451).
Protocole DNS
Référence support 71552
La gestion des requêtes de mise à jour d'enregistrements DNS a été améliorée pour se conformer à la RFC 2136 et pour ne plus déclencher à tort l'alarme bloquante "Protocole DNS invalide" (alarme dns:88).
Références support 72754 - 74272
L'analyse du protocole DNS a été modifiée afin de réduire le taux de faux positifs de l'alarme "DNS id spoofing" (alarme dns:38).
Protocole TCP
Référence support 76621
Lorsqu'un seuil était défini pour le Nombre maximal de connexions simultanées par machine source dans la configuration du protocole TCP, et qu'une règle de filtrage basée sur le protocole TCP était sujette à une tentative de déni de service de type Syn Flood, les paquets incriminés étaient correctement bloqués mais aucune alarme n'était remontée dans le fichier de logs correspondant (l_alarm). Cette anomalie a été corrigée.
Protocole RTSP
Référence support 73084
Lorsqu'une requête RTSP utilisant un mode de transport RTP/AVP/UDP traverse le firewall, le moteur d'analyse RTSP ne supprime plus le champ Transport et les canaux de diffusion s'établissent correctement.
Noms d’utilisateurs
Référence support 74102
L'enregistrement d'un nom d'utilisateur dans les tables du moteur de prévention d'intrusion n'est désormais plus sensible à la casse. Ceci permet d'assurer la correspondance des noms avec les règles de filtrage basées sur des noms d'utilisateurs authentifiés.
Réseau
Wi-Fi
Référence support 75238
La modification du mot de passe d'accès à un réseau Wi-Fi hébergé par le firewall est désormais correctement prise en compte lors de l'enregistrement de ce changement de configuration.
Routage par politique
Référence support 76999
Lors du changement d'un routeur directement au sein d'une règle de filtrage (PBR), les tables de connexions IPState (protocoles GRE, SCTP...) tiennent désormais compte du nouvel identifiant de routeur.
Interfaces
Références support 73236 - 73504
Sur les modèles de firewalls SN2100, SN3100, SN6100 et SNi40, un risque de perte de paquets pouvait survenir lorsqu'un câble était relié sur :
- L'un des ports de management (MGMT) des firewalls modèles SN2100, SN3100, SN6100,
- ou - - L'une des interfaces d'un firewall modèle SNi40.
Ce problème a été corrigé par la mise à jour du pilote de ces interfaces.
Supervision du matériel
Les événements système (identifiants 88 et 111) sont désormais générés lorsqu'un module d'alimentation défectueux revient à l'état optimal (module remplacé ou rebranché).
Routage
Référence support 77707
Routage dynamique bird
La directive check link utilisée dans la section protocol direct du fichier de configuration du routage dynamique bird est désormais correctement prise en compte pour les interfaces réseau de type IXL (modules d'extension réseau 4x10Gbps et 2x40Gbps fibre pour SN2100, SN3100 et SN6100, modules 4x10G BASE-T pour SN710, SN910, SN2000, SN2100, SN3000, SN3100, et SN6100, ports onboard 10Gbps fibre du SN6100) et IGB (SNi20, SNi40, SN2000, SN3000, SN6000, SN510, SN710, SN910, SN2100, SN3100, SN6100).
Interface Web d'administration
Rapports
Référence support 73376
Le rapport "Top des sessions administrateurs" affiche désormais toutes les sessions des administrateurs du firewall, c'est-à-dire celles du compte "admin" ainsi que toutes celles des utilisateurs et groupes d'utilisateurs ajoutés en tant qu'administrateurs. Auparavant, il n'incluait que les sessions du compte "admin".
Interfaces
Références support 74312 - 76578
Lors de la création d'une nouvelle interface, l'attribution de son nom ifname (par exemple vlan0) pouvait ne pas s'effectuer correctement, empêchant ainsi sa création. Ce problème survenait après la suppression d'une interface, libérant son nom ifname correspondant, mais laissant attribuer à tort les noms ifname suivants qui pouvaient ne pas être libres. Cette anomalie a été corrigée.
Certificats et PKI
Référence support 77598
L'ajout d'une adresse (URI) aux points de distribution des listes de révocations de certificats (CRL) pouvait dans certains cas créer une adresse pour chaque caractère renseigné. Cette anomalie a été corrigée.