IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.11.6 LTSB
Système
Proxies
Référence support 80378 - 77199
Des problèmes de fuites mémoire dans les proxies, pouvant aboutir à un redémarrage inopiné du service, ont été corrigés.
Référence support 79584
Un problème lié à la gestion du contexte SSL et qui entraînait un blocage du service proxy a été corrigé.
Références support 79957 - 80108
Dans une configuration utilisant de l'authentification multi-utilisateurs, le chargement complet d'une page Web intégrant une directive CSP (content-security-policy) pouvait nécessiter plusieurs minutes. Cette anomalie a été corrigée.
VPN IPsec
Référence support 77960
Les paquets ESP transitant dans un tunnel IPsec ne conservaient pas le bit DF ("Don't fragment") malgré le fait que le paramètre net.inet.ipsec.dfbit=2 définissait le contraire. Cette anomalie a été corrigée.
Sauvegarde de configuration - Trusted Platform Module (TPM)
Référence support 79671
Lors d'une sauvegarde de configuration avec le paramètre privatekeys positionné à none (paramètre uniquement modifiable à l'aide de la commande CLI / Serverd : CONFIG BACKUP), les clés privées stockées en mode ondisk sur le TPM ne sont plus déchiffrées à tort.
Référence support 79671
Il n'est plus possible de lancer deux sauvegardes de configuration en même temps ou dans un laps de temps très court. Les clés privées stockées en mode ondisk sur le TPM ne sont ainsi plus déchiffrées à tort.
Haute disponibilité (HA)
Les erreurs survenant lors de la mise à jour du membre passif d'un cluster sont désormais affichées dans l'interface Web d'administration du firewall.
Filtrage et NAT
Références support 79533 - 79636 - 80043 - 80412
Lors de l'activation ou désactivation d'un objet temps, la réévaluation des connexions correspondant à la règle de filtrage contenant cet objet temps ne provoque plus un redémarrage inopiné du firewall.
Agent SNMP
Références support 77226 - 78235
L'OID "SNMPv2-MIB::sysObjectID.0", permettant d'identifier la nature de l'équipement interrogé, présentait la valeur par défaut liée à net-snmp au lieu de présenter la valeur propre à Stormshield. Cette anomalie a été corrigée.
Références support 77779 - 80036
Des problèmes de consommation mémoire excessive aboutissant à un arrêt inopiné du service Agent SNMP ont été corrigés.
Restauration de configuration ou déploiement via Stormshield Management Center (SMC)
Référence support 80269
Lors d'une restauration de configuration ou lors d'un déploiement via Stormshield Management Center (SMC) d'un firewall, le processus de restauration ou de déploiement pouvait essayer de récupérer à tort la clé privée d'un certificat sur le TPM même si le firewall ne disposait pas d'un tel module. L'erreur tpm file read error était alors retournée. Cette anomalie a été corrigée.
Réseau
Agrégat de liens
Référence support 79805
Lorsque deux firewalls SNS avec un lien LACP communiquaient ensemble, le flux n'était émis que par une seule interface de l'agrégat de liens. Cette anomalie a été corrigée.
Matériel
Configuration par clé USB
Références support 79645 - 79283
Lors de la configuration d'un firewall à l'aide d'une clé USB, un message d'information est désormais affiché en console et un délai d'attente de deux minutes est initié lorsqu'il est nécessaire de retirer la clé USB pour continuer les opérations en cours (mise à jour de firmware, rattachement d'un firewall à un cluster).
Ceci permet d'éviter les erreurs de déchiffrement de clés sur les firewalls disposant d'un TPM (SN3100, SNi20).
Prévention d'intrusion
Protocole SMB - CIFS
Références support 77484 - 77166
Des anomalies dans l'analyse protocolaire SMB - CIFS pouvaient provoquer à tort l'alarme bloquante "Protocole NBSS/SMB invalide" (alarme nb-cifs:158) lors d'un accès légitime à une ressource disque partagée Microsoft Windows. Ces anomalies ont été corrigées.
Interface Web d'administration
Client NTP
Référence support 79917
Lors d'une suppression d'un serveur NTP depuis l'interface Web d'administration, les autres serveurs NTP perdaient le paramètre bindaddr de leur configuration. Cette anomalie a été corrigée.
Pour rappel, ce paramètre permet de définir l'interface par laquelle transite les requêtes NTP.
Protocole Modbus
Référence support 71166
Le firewall ne tenait pas comptes des informations saisies dans la grille UNIT ID autorisés (Protection Applicative > Protocoles > Protocoles industriels > Modbus > Paramètres généraux). Ces informations n'étaient également plus présentées dans la grille après avoir quitté le module. Cette anomalie a été corrigée.