IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.8.0
Interfaces
Référence support 69982
L'option de configuration avancée Préserver les identifiants de VLAN (pour une interface incluse dans un bridge), indiquant au firewall d'accepter les paquets tagués sur cette interface sans avoir déclaré explicitement les VLAN concernés, ne fonctionnait plus. Ce problème a été corrigé.
Routage dynamique - Objets Routeur
Références support 65524 - 69210 - 70135
Lorsque la passerelle par défaut d'un firewall consistait en un objet routeur avec répartition de charge, les routes dynamiques apprises par le moteur Bird n'étaient pas prises en compte. Ce problème a été corrigé.
Routage statique multicast
Référence support 70211
Une limitation dans la gestion de taille des files d'attente du routage statique multicast pouvait entraîner une perte de paquets multicast. La taille de ces files d'attente peut désormais être configurée à l'aide la commande :
CONFIG SMCROUTING UPDATE UpcallQueueLimit = <taille_file_attente>
Pour plus d'informations sur cette commande, veuillez vous référer au Guide de référence des commandes CLI / Serverd.
VLAN rattaché à un agrégat de liens
Références support 67337 - 65108
Lorsqu'un VLAN était rattaché à un agrégat de liens dans l'une des configurations suivantes :
- Agrégat inactif (configuration pour n'accepter sur l'agrégat que le trafic portant le tag du VLAN enfant),
- Agrégat avec une adresse MAC forcée sans que le VLAN ne soit en mode promiscuous.
Alors ce VLAN était inopérant. Ce problème a été corrigé.
Référence support 67698
Lorsqu'un VLAN rattaché à un agrégat de liens était déplacé vers un autre agrégat de liens, alors l'adresse MAC de ce VLAN devenait forcée à 00:00:00:00:00:00 et le VLAN était inopérant. Ce problème a été corrigé.
Qualité de service (QoS) - Interfaces GRE
Références support 67640 - 69253 - 69316
Les règles de QoS définies dans le module Politique de sécurité > Qualité de service n'étaient jamais appliquées aux flux transitant par des interfaces GRE. Ce problème a été corrigé.
Interfaces GRE
Référence support 71499
Il n'était pas possible d'établir des connexions TCP depuis ou à destination d'un firewall SNS au travers d'un tunnel GRE. Ce problème a été corrigé.
Système
Proxies
Référence support 69318
Un cas de corruption mémoire lors de l'utilisation du proxy SSL entraînait une interruption de l'accès Web. Ce problème a été corrigé.
Références support 66101 - 64504 - 69005 - 69328
Un problème d'accès concurrentiel à certaines ressources utilisées par le module OpenSSL pouvait entraîner un blocage du proxy. Ce problème a été corrigé.
VPN IPsec
Référence support 70910
Dans une configuration utilisant les interfaces virtuelles IPsec, un problème d'accès concurrentiel à certains paramètres de la Security Policy pouvait entraîner une interruption du trafic à l'intérieur de tunnels IPsec établis. Ce problème a été corrigé.
VPN IPsec (IKEv1 + IKEv2 ou IKEv2 seul)
Référence support 70250
Une anomalie dans la gestion des Security Associations (SA) lors de la perte de paquets au sein d'un tunnel pouvait entraîner une multiplication non justifiée des SA filles et une charge excessive du moteur de gestion des tunnels IPsec IKEv2 / IKEv1+IKEv2. Cette anomalie a été corrigée.
VPN IPsec - IKEv2
Référence support 70250
Afin d'éviter une multiplication de Security Associations (SA) filles inactives entraînant une charge excessive du moteur de gestion des tunnels IPsec IKEv2, la durée de vie maximale d’une SA n’émettant plus et ne recevant plus aucun trafic est configurable à l’aide de la commande (module Système > Console CLI) :
CONFIG IPSEC PEER NEW
Pour plus d'informations sur cette commande, veuillez-vous référer au Guide de référence des commandes CLI / Serverd.
Portail captif - Parrainage
Référence support 67894
Lorsque la méthode d'authentification par parrainage était configurée pour afficher une page d'avertissement (disclaimer), cette page n'était pas affichée à la demande de parrainage et le demandeur ne la voyait donc jamais. Cette anomalie a été corrigée et la page d'avertissement est affichée dès la demande de parrainage.
Référence support 70007
Une anomalie dans la gestion des demandes de parrainage pouvait provoquer à tort la détection d'une attaque par force brute et le bannissement du demandeur. Cette anomalie a été corrigée.
Portail captif - VPN SSL - Interface Web d'administration
Référence support 70568
La réception d'une requête non conforme pouvait aboutir au blocage du mécanisme de gestion du portail d'authentification, du VPN SSL et de l'interface Web d'administration. Ce problème a été corrigé.
Administration du firewall
Référence support 71741
En cas de perte du mot de passe administrateur d'un firewall, si lors de la procédure de récupération du mot de passe, les deux mots de passe saisis ne correspondaient pas, la configuration du firewall était effacée. Ce problème a été corrigé.
Enrôlement Web
Référence support 54754
L'enrôlement Web avec création de certificat n'était supporté que pour des utilisateurs connectés au portail d'authentification à l'aide d'un navigateur Mozilla Firefox. Cette anomalie a été corrigée et les navigateurs Microsoft Internet Explorer, Microsoft Edge et Google Chrome sont supportés.
Haute Disponibilité et VPN IPsec (IKEv1 + IKEv2 ou IKEv2 seul)
Référence support 68832
Lors de la reconstruction d'un cluster suite au remplacement physique du firewall passif, et lorsque la qualité du firewall actif était inférieure à celle du nouveau firewall passif, alors les tunnels IPsec déjà établis étaient renégociés. Ce problème a été corrigé.
Haute Disponibilité - Icône d'incident
Références support 70506 - 70880
Le mécanisme de supervision de la Haute Disponibilité (HA) prenant en compte l'état des liens vers les objets routeurs, un objet routeur injoignable provoquait à tort l'affichage de l'icône d'incident concernant les liens HA du cluster de firewalls. Cette anomalie a été corrigée.
Notifications - Alertes E-mail
Référence support 69100
Une anomalie dans l'encodage de l'e-mail de test de la configuration SMTP pouvait déclencher l'alarme "Fin de ligne incorrecte dans SMTP " (bloquante par défaut) si l'analyse du protocole SMTP était activée. Cette anomalie a été corrigée.
Stockage local
Référence support 68506 - 71005
Un firewall dont la carte SD (et donc la partition de stockage des logs) était endommagée pouvait redémarrer en boucle. Ce problème a été corrigé.
Vulnerability Manager
Références support 58546 - 66338 - 66736 - 68741 - 69083 - 70153 - 66482
Le module de gestion des vulnérabilités ne fonctionnait plus sur les firewalls modèles SN150, SN160(W), SN210(W) et SN310 et pouvait entraîner un blocage du firewall. Ce problème a été corrigé.
Modem USB over Ethernet
Référence support 65697
Lors du redémarrage d'un firewall modèle U30S ou SN200, la détection du modem USB over Ethernet prenait trop de temps et le modem ne se voyait pas assigner d'adresse IP. Il était alors nécessaire de relancer manuellement les services réseau du firewall (commande ennetwork). Cette anomalie a été corrigée.
Antispam
Référence support 69307
Un défaut de fonctionnement de la liste noire des noms de domaines pouvait provoquer à tort le classement en SPAM d'e-mails légitimes. Cette anomalie a été corrigée.
Filtrage et NAT
Références support 69146 - 69011
L'ajout ou la suppression d'une règle de filtrage inactive ou d'une règle comprenant un groupe vide devant une règle utilisant le proxy (filtrage d'URL, antivirus, sandboxing...) provoquait un décalage dans les identifiants de règles de filtrage. Ce décalage entraînait à son tour un dysfonctionnement de l'accès aux pages Web. Ce problème a été corrigé.
Stormshield Management Center
Depuis la version 3.6.1 de SNS, le firewall ne prenait plus en compte le fait qu'une interface réseau particulière ait été précisée pour la connexion au serveur SMC (paramètre BindAddr). Ce problème a été corrigé.
Filtrage URL - Stormshield Management Center
Dans une configuration utilisant la base de filtrage d'URL du Rectorat de Toulouse (voir l'article de la base de connaissances Stormshield), et lorsque l'administrateur était connecté au firewall via un serveur SMC, le bouton Ajouter toutes les catégories prédéfinies (module Politique de sécurité > Filtrage URL) renvoyait un message d'erreur HTTP. Cette anomalie a été corrigée.
Agent SSO - Groupes imbriqués
Références support 66905 - 66350 - 67257 - 69977
L'activation des groupes imbriqués (Utilisateurs > Configuration des annuaires > Configuration avancée) sur un annuaire Microsoft Active Directory associé à la méthode d'authentification Agent SSO entraînait une consommation mémoire excessive et pouvait empêcher la connexion à l'interface Web d'administration et au portail captif du firewall. Ce problème a été corrigé.
Ligne de commande
Référence support 68861
La commande système ennetwork -v exigeait un argument pour lequel aucune valeur par défaut n'était affectée, contrairement à ce qu'indiquait l'aide de la commande. Cette anomalie a été corrigée et la valeur DEBUG est affectée à cet argument lorsque aucune valeur n'est explicitement précisée.
SNMP
Référence support 70258
L'interrogation des OID correspondant aux interfaces réseau du firewall pouvait entraîner une consommation mémoire excessive de la part du serveur SNMP du firewall. Cette anomalie a été corrigée.
Annuaires LDAP
Référence support 69872
Lors de la configuration d'un annuaire Microsoft Active Directory avec accès sécurisé via SSL, un message d'erreur "Pas de configuration LDAP" était affiché à tort. La validation de ce message et le rafraîchissement de l'écran provoquaient la disparition de l'annuaire concerné de la liste des annuaires. Cette anomalie a été corrigée.
Alarmes sur les firewalls SN3000
Références support 71022 - 71051
Sur les firewalls SN3000, une alarme indiquant une panne d'alimentation pouvait s'afficher sur le tableau de bord alors que tout fonctionnait correctement. Cette anomalie a été corrigée.
Prévention d'intrusion
Protocole SIP
Référence support 68583
Les champs optionnels Record-Route et Route pouvant être ajoutés par un proxy SIP n'étaient pas pris en compte par le firewall. Les adresses et routes indiquées dans ces champs n'étaient donc pas translatées si nécessaire. Cette anomalie a été corrigée.
Référence support 66573
Certains téléphones SIP ne précisant pas le numéro de port réseau utilisé (champ Contact de la requête REGISTER), les requêtes REGISTER entrantes ainsi formées n'étaient pas correctement redirigées par le firewall. Cette anomalie a été corrigée.
Protocole SNMP
Référence support 68686
L'activation de l'analyse de prévention d'intrusion sur le protocole SNMP pouvait entraîner une consommation excessive des ressources processeur du firewall ainsi qu'un ralentissement de l'ensemble des flux réseau traversant ce firewall. Cette anomalie a été corrigée.
Protocole LDAP
Références support 71152 - 69806
L'analyse du protocole LDAP pouvait déclencher à tort l'alarme ldap_tcp:427 (Mauvais Protocole LDAP) et bloquer les connexions à l'annuaire LDAP cible. Cette anomalie a été corrigée.
Référence support 71192
Un problème dans l'analyse de paquets LDAP utilisant l'authentification via SASL (Simple Authentication and Security Layer) pouvait entraîner un blocage du firewall. Ce problème a été corrigé.
Restauration logicielle par clé USB
Référence support 68227
Firewalls modèle SN6000
La méthode de détection du disque interne utilisée dans le cadre d'une restauration par clé USB (USB Recovery) ne fonctionnait pas sur les firewalls modèle SN6000. Cette anomalie a été corrigée.
Interface Web d'administration
Référence support 69237
Un problème générant des lenteurs d'affichage de l'interface Web d'administration, et pouvant aboutir au blocage du moteur de gestion de ces pages d'administration, a été corrigé.
Utilisateurs
Référence support 68972
L'affichage des utilisateurs ou des groupes appartenant à des annuaires très volumineux (milliers d'objets) pouvait nécessiter plusieurs minutes ou parfois même ne pas aboutir. Ce problème a été corrigé.
Routage statique
Références support 65971 - 67347 - 70135
L'ajout d'une route statique en précisant en premier lieu le réseau de destination plutôt que l'interface, provoquait l'affichage d'un message d'erreur "Interface non trouvée". Ce problème a été corrigé.
Filtrage et NAT
Dans une configuration :
- Utilisant plusieurs séparateurs de règles,
- Avec un séparateur placé en première position de la politique de filtrage ou de NAT.
Lorsque tous les séparateurs étaient repliés, la suppression du séparateur placé en première position n'entraînait pas la suppression des règles de filtrage ou NAT situées sous ce séparateur. Cette anomalie a été corrigée.
Droits d'administration
Référence support 68691
Un utilisateur avec les droits d'administration ne pouvait pas modifier certains paramètres comme la configuration DNS ou NTP. Cette anomalie a été corrigée.
Administrateurs
Références support 68888 - 70656
Un compte administrateur dont le nom comportait des caractères spéciaux n'apparaissait pas dans la liste des administrateurs une fois ajouté. Ce problème a été corrigé.
Comptes temporaires
Le bouton d'export de la liste des comptes temporaires ne fonctionnait pas avec le navigateur Microsoft Edge. Ce problème a été corrigé.
Logs - Journaux d'audit
Le bouton d'export du contenu des Logs - Journaux d'Audit ne fonctionnait pas avec le navigateur Microsoft Edge et provoquait une déconnexion de l'interface d'administration. Ce problème a été corrigé.
Le Hash des paquets réseau capturés (configuration possible via les options avancées d'une alarme) n'était pas anonymisé lorsque l'administrateur disposait uniquement du droit d'accès restreint aux logs. Cette anomalie a été corrigée.
Objets réseau
Références support 67681 - 68079
Après avoir appliqué le filtre Machine ou le filtre Réseau, le tri sur la colonne IPv4 ou IPv6 des objets affichés était erroné (tri sur les caractères composant l'adresse IP et non tri numérique). Cette anomalie a été corrigée.
Portail captif
Référence support 68872
Dans le module Utilisateurs > Authentification > onglet Portail Captif > Configuration avancée, bien qu'un objet réseau ait été sélectionné pour le champ Port du portail captif , ce champ affichait une valeur numérique et était signalé à tort en anomalie. Ce problème a été corrigé.
Machines virtuelles
Partition de logs
Références support 61281 - 69313
Sur les plate-formes de virtualisation ou d'hébergement basées sur Openstack (Xen Server, KVM, Cloudwatt,...), la partition de logs du firewall virtuel pouvait ne pas être détectée et le menu Logs - Journaux d'audit était alors masqué. Ce problème a été corrigé.
Xen Server - Fonction "Live migrate"
Référence support 60867
L'utilisation de la fonction Live migrate, permettant de transférer à chaud un firewall virtuel d'un serveur Xen vers un autre, provoquait une erreur système et entraînait un redémarrage du firewall.