IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.9.0
Prévention d'intrusion
Haute Disponibilité
Référence support 70654
Dans une configuration telle que :
- le firewall actif recevait sur l'une de ses interface ne participant pas à la HA des paquets ayant pour adresse source une adresse IP utilisée pour le lien HA (tentative d'attaque par usurpation d'adresse IP),
- Ces paquets étaient autorisés par une règle en mode Firewall ou IDS,
ou
l'action de l'alarme "Usurpation d'adresse IP (type 2)" était forcée à "passer",
alors le cluster de firewalls devenait instable.
Des mécanismes de protection supplémentaires ont été mis en place pour éviter cette situation.
Protocole DNS
Références support 71390 - 71391
Sur un firewall utilisant uniquement IPv4, le moteur d'analyse du protocole DNS ajoutait inutilement des adresses IPv6 dans la table des hôtes. Ceci pouvait entraîner la saturation de cette table sur les petits modèles de firewalls. Ce problème a été corrigé.
Protocole OPC UA
Référence support 72255
Une anomalie dans l'analyse du protocole industriel OPC UA (valeur du champ SecureChannel dans un paquet OPN) pouvait déclencher à tort l'alarme bloquante "OPCUA: protocole invalide". Cette anomalie a été corrigée.
Protocole SIP
Références support 71980 - 68971
Certaines communications SIP échouaient lors d'une mise en attente du fait de l'envoi par l'un des correspondants d'un paquet INVITE contenant une information dépréciée de type "c=IN IP4 0.0.0.0" rejetée par le firewall (alarme bloquante "Protocole SIP invalide (SDP)").
Ce problème a été corrigé par la création d'une nouvelle alarme spécifique ("SIP : Adresse anonyme dans la connexion SDP"). Par défaut ces paquets ne sont plus bloqués, mais il est possible de configurer l'alarme pour les bloquer.
Protocole TNS - Oracle
Références support 72518 - 71272
L'analyse d'une communication client-serveur TNS - Oracle soumise à de la fragmentation de paquets et à de la translation d'adresse (NAT) n'engendre plus une désynchronisation du flux du fait de la réécriture des paquets.
Protocole DCERPC
Références support 70716
Un risque de fuite mémoire lors de l'analyse du protocole DCERPC a été corrigé.
Protocole IKE
Le moteur d'analyse du protocole SNMP pouvait bloquer à tort certains paquets IKE valides lorsque des paquets SNMP transitaient sur le port UDP 500. Ce problème a été corrigé.
Système
Commandes CLI
Référence support 72020
Les fichiers temporaires créés lors de la mise à jour d'une PKI via la commande CLI PKI IMPORT n'étaient pas supprimés. Cette anomalie a été corrigée.
VPN IPsec
Référence support 71401
Une configuration IPsec utilisant le protocole de chiffrement AES256-CBC, et dans laquelle les extrémités de trafic échangeaient plusieurs flux réseau distincts, pouvait aboutir à une corruption du trafic lors de la phase de chiffrement des flux. Ce problème a été corrigé.
VPN IPsec (IKEv1 + IKEv2)
Référence support 72290
Sur un firewall regroupant des correspondants IKEv1 et IKEv2, les groupes d'un utilisateur établissant un tunnel nomade IKEv1 avec authentification via certificat et XAUTH n'étaient pas pris en compte. Cette anomalie a été corrigée.
Haute Disponibilité - SNMP
Référence support 71474
Sur un firewall pour lequel l'agent SNMP n'avait jamais été activé, le mécanisme de synchronisation de configuration de la HA cherchait à tort à synchroniser l'identifiant système de cet agent SNMP. Cette anomalie a été corrigée.
Haute Disponibilité - Agrégat de liens
Références support 65863 - 71002
La modification du poids d'un agrégat de liens dans une configuration HA (module Haute Disponibilité > champ Poids ou commande CLI CONFIG HA WEIGHT UPDATE) ne fonctionnait pas et générait une erreur système. Ce problème a été corrigé.
Haute Disponibilité - SN6000 / SN6100
Référence support 72924
Sur un cluster soumis à un nombre élevé de connexions (plusieurs dizaines de milliers) concernant plusieurs milliers de machines protégées, la bascule HA pouvait entraîner des pertes de connexions. Ce problème a été résolu grâce à l'utilisation de l'ensemble des processeurs pour la restauration des connexions, machines et utilisateurs actifs.
Authentification - Agent SSO
Référence support 71101
L'utilisation de la méthode d'authentification Agent SSO pouvait entraîner à tort l'enregistrement de certains utilisateurs en tant qu'administrateurs. Cette anomalie a été corrigée.
Qualité de service
Référence support 71136
L'absence de définition d'une bande passante de référence (module Politique de Sécurité > Qualité de service > Bande passante maximale par interface > champ Bande passante totale) pouvait entraîner une charge CPU excessive sur les firewalls modèles SN160(W), SN210(W) et SN310. Une valeur adaptée au modèle de firewall est désormais définie par défaut.
Objets routeur
Référence support 71502
Une anomalie dans le mécanisme de supervision des passerelles survenant lorsque une passerelle passait d'un état interne « à priori non joignable » (un test de disponibilité échoué) à l’état interne « joignable » a été corrigée.
Objets de type FQDN
Référence support 69784
Le nombre d'adresses IP enregistrées pour un objet de type FQDN était anormalement limité à 32 entrées. Ce problème a été corrigé.
VPN SSL
Références support 66481 - 69424
Une anomalie dans la gestion du compteur d'utilisateurs connectés via VPN SSL pouvait aboutir à tort à la limite de connexions autorisées. Il était alors impossible d'établir de nouveaux tunnels légitimes. Cette anomalie a été corrigée.
Filtrage et NAT
Référence support 71283
Le message d'erreur explicite suivant est désormais affiché lors du rechargement d'une politique de Filtrage et NAT contenant un groupe de ports vide : "Le groupe de ports Group_Name utilisé dans cette règle est vide".
SN2100 et SN3100 - Interfaces 1 Gigabit/s
Référence support 71672
La présence d'interfaces réseau 1 Gigabit/s non connectées provoquait une consommation excessive de ressources CPU sur les firewalls modèles SN2100 et SN3100. Ce problème a été corrigé par la mise à jour du pilote de ces interfaces.
VPN IPsec
Référence support 71858
Dans une configuration IPsec où l'une des extrémités de tunnel proposait les algorithmes de chiffrement de phase 2 AES et AES_GCM_16, et l'autre extrémité le seul algorithme AES_GCM_16, alors le tunnel ne pouvait pas être négocié. Ce problème a été corrigé.
Portail Captif - Conditions d'utilisation de l'accès à Internet
Référence support 69176
L'acceptation des conditions d'utilisation de l'accès à Internet présentées par le portail captif (méthodes d'authentification de type invité) ne fonctionnait pas sur les équipements mobiles utilisant le système d'exploitation iOS. Ce problème a été corrigé.
SNMP
Référence support 72116
Les informations de bande passante concernant les interfaces 10 Gigabit/s n'étaient pas correctement retournées dans les OID ifSpeed et ifHighSpeed. Cette anomalie a été corrigée.
Référence support 71972
L'objet snsUptime étant dupliqué dans les MIBs Stormshield-SYSTEM-MONITOR et Stormshield-HA, une requête vers cet objet ne retournait aucun résultat. Cet objet a été renommé en snsHA Uptime dans la MIB Stormshield-HA afin de corriger cette anomalie.
Référence support 71886
Les plages de valeurs définies pour les objets snsNodeIndex et snsIfIndex de la MIB Stormshield-HA étaient erronées. Ces anomalies ont été corrigées.
Référence support 69010
La syntaxe erronée de l'objet snsQosEntryIndex (MIB Stormshield-QOS) empêchait certains outils de supervision d'interroger correctement cette MIB. Cette anomalie a été corrigée.
Proxy SSL
Référence support 72663
Le proxy SSL considérait à tort certains certificats comme étant invalides et bloquait l'accès aux sites correspondants. Ce problème a été corrigé.
Interfaces GRETAP
Référence support 69981
Dans une configuration mettant en œuvre un tunnel GRETAP respectant les conditions suivantes :
- L’une des extrémités du tunnel est un firewall modèle SN310,
- Un VLAN est attaché aux interfaces GRETAP portant le tunnel,
- L’interface GRETAP est membre d’un bridge,
- L’option Préserver les identifiants de VLAN est activée sur toutes les interfaces appartenant à ce bridge.
Alors, sur le firewall modèle SN310, le trafic en sortie de l’interface physique était corrompu (paquet de contrôle nul) et rejeté par le firewall distant.
Sauvegardes automatiques
Référence support 72131
Lors d'une sauvegarde automatique vers un serveur personnalisé, si la réponse du serveur contenait le code retour HTTP 204 (No Content), cette réponse était interprétée à tort comme une erreur et générait l'événement système 87 "Sauvegarde échouée". Le fichier de sauvegarde était néanmoins bien déposé sur le serveur. Cette erreur d'interprétation du code retour HTTP 204 a été corrigée.
Machines virtuelles
Suite à la remise en configuration d'usine (defaultconfig) d'une machine virtuelle EVA, la première connexion à l'interface web d'administration de cette machine aboutissait à un échec du chargement de la configuration du firewall. Ce problème a été corrigé.
Logs IPsec (IKEv2 seul ou IKEv1 + IKEv2)
Référence support 73155
Certaines entrées de logs IPsec (fichier l_vpn) ne contenaient pas les champs source (src) et destination (dst). Cette anomalie a été corrigée.
Réseau
VLAN rattaché à une interface GRETAP
Référence support 72961
Un VLAN rattaché à une interface GRETAP voyait son MTU positionné sur une valeur erronée après un redémarrage du firewall. Ce problème a été corrigé.
Interface Web d'administration
Logs - Journaux
Référence support 71615
La sélection d'une ligne de logs ne permettait plus de copier cette ligne dans le presse-papier. Cette anomalie a été corrigée.
Logs - Journaux - Géolocalisation
Lors du survol du drapeau d'un pays source ou destination, l'info-bulle pouvait afficher le nom du pays ou le code pays selon le log sélectionné. L'info-bulle affiche désormais les deux informations sous la forme Nom du Pays (code pays). Notez que c'est le code pays qui doit être utilisé pour les fonctions de filtrage / recherche.
Notifications
Référence support 59495
La valeur du champ précisant l'interface sur laquelle une alarme avait été déclenchée était erronée dans le rapport HTML envoyé par e-mail. Cette anomalie a été corrigée.
Supervision - Tunnels VPN SSL
Référence support 72046
La déconnexion d'un utilisateur via le menu contextuel (clic droit) ne fonctionnait pas et générait un message d'erreur système. Cette anomalie a été corrigée.
Référence support 72048
La recherche dans les logs d'un utilisateur connecté via VPN SSL n'aboutissait pas. Ce problème a été corrigé.
Événements système
Référence support 71337
Lors du glisser / déposer vers la zone de filtrage ou la zone de recherche d'une ligne contenant des caractères spéciaux, ces caractères spéciaux étaient encodés et le filtre était faussé. Cette anomalie a été corrigée.
Stormshield Network Real-Time Monitor
Référence support 72564
La connexion de SN Real-Time Monitor à un firewall disposant de listes blanches / listes noires provoquait la fermeture immédiate du logiciel de supervision. Ce problème a été corrigé.