IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.11.3 LTSB
IMPORTANT
Dans certaines conditions, le proxy peut être impacté par une fuite mémoire, aboutissant à un redémarrage inopiné du service. Si vous pensez être impacté par ce problème, veuillez vous rapprocher du support Stormshield.
Système
Proxies
Lorsque le proxy doit envoyer une page de blocage, l'absence d'en-tête Content-Length dans la réponse (requête de type HTTP HEAD) n’entraîne plus à tort une alarme "Données additionnelles en fin de réponse" (alarme http:150).
Référence support 78432
Des problèmes de fuites mémoire dans les proxies, pouvant aboutir à un redémarrage inopiné du service, ont été corrigés.
Références support 79304 - 79888
Un problème lié à l'activation de la protection par force brute et qui pouvait entraîner un blocage du proxy a été corrigé.
Référence support 67947
Dans une configuration avec une politique de filtrage mettant en œuvre :
- Une règle globale de déchiffrement,
- Une règle locale de filtrage utilisant un proxy explicite et dont l'identifiant de règle est égal ou inférieur à celui de la règle globale de déchiffrement.
Une opération de rechargement de la configuration du proxy (changement de politique de filtrage, changement de politique de filtrage SSL/URL, changement du moteur de filtrage SSL/URL, changement du moteur antiviral...) ne provoque plus l'interruption des connexions traitées par le proxy.
VPN SSL
Références support 73353 - 77976
Le client VPN SSL applique désormais le délai avant renégociation des clés défini sur le serveur VPN SSL, par défaut de 14400 secondes (4 heures). Les utilisateurs ne bénéficiant pas du client Stormshield Network VPN SSL doivent récupérer un nouveau ficher de configuration sur le portail d’authentification du firewall pour que le nouveau comportement s’applique.
En savoir plus
TPM
Référence support 76665
Lorsqu'un certificat au format PEM et non accompagné de sa clé privée est importé sur le firewall, la commande de diagnostic tpmctl -a -v ne retourne plus à tort un message d'erreur de lecture du fichier TPM associé (tpm file read error).
VPN SSL en mode portail
Référence support 68759
Le VPN SSL en mode portail utilise désormais un composant qui est compatible avec :
- Java 8 JRE,
- ou - - OpenWebStart.
Ceci permet de pallier à la suspension prévue des versions publiques de Java JRE 8 dans un avenir proche.
Objets réseau
Référence support 77385
Lors de la création d'un objet réseau global lié à une interface protégée, cet objet est désormais correctement intégré au groupe Networks_internals.
Référence support 76167
Lors de la restauration d'objets réseau (locaux ou globaux) à l'aide d'un fichier de sauvegarde (fichier portant l'extension ".na"), un rechargement des routes réseau du firewall est effectué afin de prendre en compte les modifications qui concerneraient des objets réseau impliqués dans le routage.
Haute disponibilité (HA)
Référence support 70003
La validité de licence de l'option Management de vulnérabilités est désormais vérifiée avant d'exécuter une synchronisation de configuration afin de ne plus générer inutilement dans les logs des messages d'erreur du type "Target: all From: SNXXXXXXXXXXXXX Command: SYNC FILES failed: Command failed : Command has failed : code 1".
Références support 78758 - 75581
Des problèmes de fuites mémoire notamment dans le mécanisme chargé de la gestion de l'état de la HA ou des changements de rôles au sein d'un cluster ont été corrigés.
Supervision du matériel
Référence support 77170
Sur les firewalls modèles SN2100, SN3100 et SN6100, des optimisations ont été apportées au mécanisme de supervision de la vitesse de rotation des ventilateurs afin de ne plus remonter à tort d'alarmes mettant en cause le bon fonctionnement de ceux-ci.
Authentification Radius
Référence support 76824
Dans une configuration d'authentification par serveur Radius avec clé pré-partagée, la sélection d'un autre objet machine dans le champ Serveur puis la sauvegarde de cette seule modification n’entraînent plus la suppression de la clé pré-partagée initialement renseignée.
Agent SNMP
Référence support 74514
Des anomalies dans l'indexation des tables reflétant l'état matériel des membres du cluster dans la MIB HA ont été corrigées. En effet, les OIDs retournés n'étaient pas en accord avec la MIB associée, empêchant l'utilisation des requêtes snmpget pour atteindre ces OIDs. Ces requêtes fonctionnent maintenant correctement.
Sauvegarde automatique
Référence support 79807
Suite à la mise à jour d'un firewall vers une version 3.10.x, puis vers une version 3.11.x, la sauvegarde automatique n'était plus fonctionnelle car les objets réseau permettant de joindre le serveur de sauvegarde automatique n'étaient pas correctement créés.
Réseau
Bridge - Adresses MAC
Référence support 74879
Dans le cas d'interfaces rattachées à un bridge, lorsqu’un équipement réseau est déplacé et que le trafic réseau qu'il génère n'est donc plus lié à la même interface physique, le firewall associe désormais automatiquement l'adresse MAC de cet équipement à la nouvelle interface dès la réception d'une requête Gratuitous ARP issue de l'équipement. Ceci permet d'assurer la bonne continuité du filtrage pour l'équipement déplacé.
La bascule de l'équipement ne sera effective que si l'adresse MAC est identique après déplacement.
Agrégat de liens - MTU
Références support 78517 - 74507
Les liens agrégés utilisent désormais la taille maximale d'un paquet (MTU) configurée sur leur agrégat de liens (LACP).
Prévention d'intrusion
Compteur de connexions
Référence support 74110
Des optimisations ont été apportées au mécanisme de comptage des connexions simultanées afin de ne plus déclencher à tort l'alarme "Nombre de connexions par machine source autorisées atteint" (alarme tcpudp:364).
Commande sfctl
Référence support 78769
L'utilisation de la commande sfctl avec un filtre sur une adresse MAC ne provoque plus un redémarrage inopiné du firewall.
Mise en quarantaine sur alarme du nombre de connexions
Référence support 75097
Lorsque l'action de mise en quarantaine est paramétrée pour l'alarme "Nombre de connexions par machine source autorisées atteint" (alarme tcpudp:364), la machine déclenchant cette alarme est désormais correctement ajoutée à la liste noire pour la durée de mise en quarantaine paramétrée.
Protocole DCERPC
Référence support 77417
Le moteur d'analyse du protocole DCERPC pouvait créer à tort plusieurs centaines de squelettes de connexions, entraînant alors une consommation CPU excessive du firewall.
Ce problème, qui pouvait notamment empêcher le firewall de répondre aux requêtes de suivi d'état de la haute disponibilité (HA) et provoquer une instabilité du cluster, a été corrigé.
Interface Web d'administration
Annuaires LDAP
Référence support 69589
L'accès à un annuaire LDAP externe hébergé sur un autre firewall Stormshield par le biais d'une connexion sécurisée (SSL) et en ayant coché la case Vérifier le certificat selon une Autorité de certification fonctionne désormais correctement.