IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.2.0
Système
Certificats et PKI
Référence support 60548
Lors d'une requête SCEP (Simple Certificate Enrollment Protocol) à destination d'une PKI gérée par une plate-forme Microsoft Windows, la phase d'authentification échouait car l'encodage du mot de passe émis était différent de celui attendu (le protocole SCEP ne faisant pas encore l'objet d'une RFC). Cette anomalie a été corrigée.
Agent SNMP
Référence support 49523
L'OID (Object Identifier) correspondant à la quantité totale de mémoire tampon réservée (MIB UCD-SNMP) pouvait retourner à tort une valeur ne correspondant pas au format attendu (32 bits). Ce problème a été corrigé.
Référence support 54961
L'identifiant unique de l'agent SNMP était modifié à chaque redémarrage du service SNMP du firewall, provoquant ainsi potentiellement un défaut de communication avec les solutions de supervision.
Configuration des annuaires
Référence support 58839
La modification du nom d’un annuaire LDAP n’était pas répercutée dans les autres modules référençant cet annuaire (exemple : Filtrage et NAT). Cette anomalie a été corrigée.
Référence support 57419
Dans une configuration LDAP précisant un serveur de secours, et lorsque le serveur principal n’était plus joignable, les requêtes LDAP en mode synchrone (exemple : VPN SSL) n'étaient pas redirigées vers le serveur de secours. Ce problème a été corrigé.
Authentification
Référence support 59422
La première activation d'une méthode d'authentification n'était effective qu'après avoir rempli et validé ses éléments de configuration à deux reprises. Cette anomalie a été corrigée.
Sauvegardes automatiques
Référence support 59229
Des problèmes potentiels de communication entre les firewalls et les serveurs de sauvegardes automatiques ont été résolus en ajoutant l'autorité de certification racine Stormshield dans les autorités de confiance de ces serveurs.
Filtrage et NAT
Référence support 59849
Une règle de filtrage contenant plusieurs milliers d'adresses IP incluses dans des groupes en source ou destination pouvait provoquer un redémarrage en boucle du firewall. Ce problème a été corrigé.
Référence support 54522
L'option "Protéger des attaques SYN flood" (module Filtrage et Nat > Action > onglet Qualité de service > panneau Seuil de connexion > champ Si le seuil est atteint) ne fonctionnait pas pour protéger un serveur caché par de la translation d'adresses. Ce problème a été corrigé.
Translation d'adresses
Référence support 58919
Pour translater la source d'un flux émis par le firewall, il était impératif de ne pas spécifier de destination après translation (suppression de la valeur Any précisée dans la colonne Destination de la section Trafic après translation). Cette anomalie a été corrigée.
Commande CLI
Référence support 58853
La commande MONITOR FLUSH STATE X.Y.Z.A vidait la table des hôtes et des connexions au lieu de supprimer exclusivement les entrées concernant la machine X.Y.Z.A. Ce problème a été corrigé.
Haute disponibilité
Référence support 53958
L'état des disques des firewalls est pris en compte dans le calcul de qualité des membres d'un cluster.
Référence support 56613
Une instabilité du moteur de synchronisation des données provoquait un redémarrage en boucle du service de gestion de la Haute Disponibilité. Ce dysfonctionnement pouvait entraîner un passage du firewall passif en mode actif, les deux firewalls du cluster devenant alors actifs. Ce problème a été corrigé.
Référence support 56700
Les modifications apportées aux préférences utilisateurs sur le firewall actif n'étaient pas synchronisées avec le firewall passif. Cette anomalie a été corrigée.
Référence support 57317
Lorsque la table des événements à synchroniser était remplie, le moteur de gestion de la haute disponibilité tentait une nouvelle synchronisation complète, au détriment des performances du firewall. Ce comportement a été modifié, et le mécanisme supprime d'abord les plus anciens événements afin de pouvoir ajouter les plus récents dans la file d'attente.
Référence support 58846
Dans une configuration en Haute Disponibilité, les interfaces initialement inactives sur le firewall principal étaient indiquées comme actives après un double changement de rôle de ce firewall au sein du cluster (actif/passif/actif). Cette anomalie a été corrigée.
Référence support 58842
Lors d'un changement de rôle des firewalls au sein d'un cluster, la restauration des connexions actives en mode incrémental ne tenait pas compte de la filiation de ces connexions (flux de connexion / flux de données). Dans ce cas, les flux de données pour des protocoles de type FTP n'étaient ainsi pas transférés. Ce problème a été corrigé.
Proxies
Référence support 60090
Dans une configuration pour laquelle :
- Les analyses Web 2.0 étaient désactivées (case Inspecter le code HTML décochée dans l'onglet IPS du protocole HTTP),
- L’alarme « http:150 additional data at end of reply » était positionnée à passer.
Des requêtes http de type POST à destination du proxy pouvaient alors entraîner un blocage du firewall. Ce problème a été corrigé.
Référence support 56009
Lorsqu'un client SMTP dépassait la quantité de données autorisées en émission, le proxy envoyait une réponse du type "552 Data size exceeded" puis générait à tort une alarme "Protocole SMTP invalide" provoquant l'interruption de la connexion. Cette anomalie a été corrigée.
Référence support 56619
Le firewall pouvait tenter de réutiliser un certificat venant d'être supprimé. Cette anomalie pouvant provoquer un blocage du proxy a été corrigée.
IPsec (IKEv2)
Référence support 59900
Lors de l'établissement d'un tunnel IPsec IKEv2, les groupes auxquels étaient rattaché un utilisateur n’étaient pas communiqués au moteur de prévention d’intrusion. Cette anomalie a été corrigée.
Référence support 59730
Lors de la négociation d’un tunnel IPsec IKEv2 à l’initiative du firewall, celui-ci envoyait des sélecteurs IP additionnels qui pouvaient ne pas être acceptés par les équipements d’autres constructeurs (CheckPoint), empêchant ainsi l’établissement du tunnel. Ce problème a été corrigé.
VPN SSL
Référence support 48993
Lors d'un rechargement du serveur VPN SSL, la configuration destinée au client pouvait ne pas être complète et empêchait les connexions au service. Ce problème a été corrigé.
Référence support 59518
Le serveur VPN SSL n'acceptait pas les certificats présentant des espaces ou des caractères spéciaux (exemple : apostrophe), et échouait à créer l'archive de configuration destinée à être téléchargée par le client. Ce problème a été corrigé.
Référence support 49110
Les performances du VPN SSL ont été améliorées grâce au support du protocole UDP pour l'établissement des tunnels.
PPTP
Référence support 59237
La tentative d'établissement d'un tunnel PPTP à destination d'un firewall utilisant du routage par interface pouvait entrainer le blocage du moteur de gestion des tunnels PPTP. Ce problème a été corrigé.
Objets réseau - Objets globaux
Référence support 59511
L'export au format CSV des objets globaux ne fonctionnait pas. Ce problème a été corrigé.
Traces - Stockage local
Référence support 59751
Une optimisation dans les paramètres d’accès à la carte SD sur les firewalls modèle U30S, SN200 et SN300 a corrigé des problèmes de redémarrages intempestifs du firewall.
Réseau
LACP
Référence support 59545
La modification de l'adresse MAC d'un agrégat n'était pas répercutée sur la première interface physique appartenant à cet agrégat.
IPv6
Référence support 58635
Les requêtes ICMP, ou de découverte du voisinage réseau, à destination d'une interface paramétrée en IPv6 avec un masque de sous-réseau égal à /64 provoquaient une alarme bloquante "usurpation d'adresse IP de type 1" (adresse source issue d'une interface non protégée à destination d'une interface protégée). Ce problème a été corrigé.
Objets réseau
Référence support 54843 - 56211
Lors de la manipulation de la base objets, l'ensemble des entrées de la table ARP du firewall était systématiquement effacée. Les solutions de supervision réseau pouvaient alors considérer à tort des machines injoignables pendant la reconstruction de cette table. Ce comportement a été modifié et seules les entrées permanentes de cette table sont supprimées lors de la manipulation de la base objets.
Prévention d'intrusion
Protocole SMB2
Référence support 58662
Une erreur dans la lecture de paquets SMB2 lors d'une tentative d'authentification via la méthode SPNEGO pouvait provoquer à tort l'alarme bloquante "Protocole NBSS/SMB2 invalide". Ce problème a été corrigé.
Protocole Ethernet/IP
Référence support 59987
Le module de prévention d'intrusion dédié à l'analyse du protocole industriel Ethernet/IP pouvait se déclencher à tort sur certains flux UDP, provoquant le blocage de ceux-ci. Cette anomalie a été corrigée.
Management de vulnérabilités
Référence support 55973 58875
Des problèmes de blocage du moteur de prévention d'intrusion ont été résolus par une optimisation du mécanisme de management de vulnérabilités pour les flux provenant ou à destination du firewall.
File d'attente du moteur de prévention d'intrusion
Référence support 59366
Lorsque le nombre de connexions dépassait la file d'attente des événements gérées par le moteur de prévention d'intrusion, le message "HA: Overflow detected while reading ASQ events, resync needed" était généré dans le journaux d'événements, bien que la haute disponibilité ne soit pas activée sur le firewall. Ce message a été modifié en "Overflow detected while reading IPS events, resync needed".
Protocole ICMP
Référence support 59712
Un paramètre fixant le taux global maximum de paquets d’erreurs ICMP autorisés par coeur a été ajouté aux firewalls. Ce paramètre, fixé par défaut à 25000 paquets/s, est modifiable dans la configuration globale du protocole ICMP.
Interface Web d'administration
Filtrage et NAT
Lors de l'édition d'un commentaire, l'utilisation des raccourcis clavier CTRL+C et CTRL+V provoquait un copier / coller d'une nouvelle règle de filtrage plutôt que du commentaire concerné. Cette anomalie a été corrigée.
Référence support 54930
Suite au renommage du protocole dcerpc en dcerpc_tcp, la sélection de dcerpc dans le champ protocole d'une règle de filtrage provoquait une erreur. Ce problème a été corrigé.
Référence support 47826
Le déplacement d'un séparateur de règles replié n'entraînait pas le déplacement des règles de filtrage qui lui étaient rattachées. Cette anomalie a été corrigée.
Traces -Syslog - IPFIX
Référence support 60007
Lorsque le formatage d'une carte SD échouait, l'erreur n'était pas affichée et la fenêtre de formatage restait indéfiniment affichée. Ce problème a été corrigé.
Administrateurs
Référence support 61167
Après validation du changement du mot de passe du compte admin, la page pouvait rester bloquée sur le message "Sauvegarde de la configuration en cours, veuillez patienter...". Cette anomalie a été corrigée.
Configuration des annuaires
Référence support 60079
Lorsque le nom de plusieurs annuaires était dérivé du nom de l’annuaire par défaut (exemple : mycompany.eu [défaut] , mycompany.eu.fr, mycompany.eu.org …), tous ces annuaires étaient représentés comme annuaires par défaut dans le module Utilisateurs > Configuration des annuaires.
Supervision
Configuration de la supervision
Référence support 59538 - 59590
Les interfaces agrégées ne pouvaient pas être sélectionnées dans la liste des interfaces à superviser. Cette anomalie a été corrigée.
Supervision de la QoS
Référence support 59322
La courbe historique de supervision de la QoS n'affichait pas de données car les identifiants des files d'attente de QoS n'étaient pas pris en compte. Cette anomalie a été corrigée.
Matériel
Voyants lumineux - SN150
Référence support 58532
Le voyant lumineux Online situé en façade du firewall SN150 ne s'allumait pas au démarrage du boîtier. Cette anomalie a été corrigée.