IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.1.0
Système
Authentification
Référence support 52192
Une tentative de connexion à l'interface Web d'administration via le navigateur Google Chrome et la méthode SSL (certificat) ou la méthode SPNEGO n'aboutissait pas et provoquait une alarme d'attaque par force brute. Ce problème a été corrigé.
Référence support 56711
Lors de la configuration de la méthode "Parrainage", le champ Expiration du 'cookie' HTTP n'était pas automatiquement positionné à Ne pas utiliser, ce qui entraînait un dysfonctionnement de cette méthode d'authentification. Cette anomalie a été corrigée.
Référence support 56595
La tentative de création d'un nouvel objet au sein de l'assistant de politique d'authentification échouait et affichait un "?" en lieu et place du nom de l'objet. Ce problème a été corrigé.
Référence support 59731
Une anomalie dans l’encodage de l’e-mail de parrainage rendait le lien de validation inclus dans cet e-mail invalide. Cette anomalie a été corrigée.
Objets
Référence support 58476 - 58944
Les objets routeurs et objets temps n'étaient pas pris en charge lors d'une restauration partielle de configuration. Cette anomalie a été corrigée.
Référence support 56113
Les objets globaux intégrés dans un objet routeur n’étaient pas pris en compte. Cette anomalie a été corrigée.
Référence support 53218
Lorsqu'une dialup (modem PPoE, PPTP, PPP ou L2TP) active et fonctionnelle était intégrée dans un objet routeur, celui-ci ne récupérait pas son état et la considérait donc comme injoignable. Ce problème a été corrigé.
Référence support 59083
Certificats et PKI
Dans le cadre d'un renouvellement de certificat via le protocole Simple Certificate Enrollment Protocol (SCEP), à l'aide de la commande en ligne SCEP RENEW, et lorsque le Distinguished Name (DN) de ce certificat contenait plus d'un attribut du même type (OU, CN, O,...), seule la première occurrence de cet attribut était conservée après l'opération. Cette anomalie a été corrigée.
Référence support 51618
VPN SSL Portail
Les connexions vers des serveurs applicatifs au travers de l’application VPN SSL Portail ne fonctionnaient plus en version 3. Ce problème a été corrigé.
VPN SSL
Référence support 58856
Le nombre maximal de tunnels VPN SSL autorisé physiquement sur les firewalls Netasq modèle U série S était inférieur au nombre de tunnels prévus. Cette anomalie a été corrigée.
Référence support 52972 - 53289
Un problème pouvant empêcher l'établissement de nouveaux tunnels VPN SSL (connexion bloquée à l'étape "GET CONF") a été corrigé.
Proxies
Référence support 52034
Lorsqu'une règle de filtrage faisait appel au proxy explicite, le changement du port d'écoute de ce proxy (TCP/8080 par défaut) n'était pas pris en compte par les règles d'authentification contenues dans la politique de filtrage. Cette anomalie a été corrigée.
Référence support 55700
Une anomalie dans la gestion des tailles maximales du nom d’utilisateur et de domaine composant une adresse e-mail a été corrigée.
Référence support 54003
Le proxy HTTP pouvait considérer à tort des téléchargements comme partiels. Cette anomalie a été corrigée.
Référence support 56464
Une anomalie dans la lecture des informations situées derrière le nom de domaine précisé dans la commande EHLO bloquait à tort le flux SMTP correspondant.
Référence support 52848
Après analyse Sandboxing d'un e-mail, le nom de la pièce attachée référencée dans les journaux de traces était erroné. Ce problème a été corrigé.
Référence support 49996
Une anomalie dans la gestion des réponses du protocole Internet Content Adaptation Protocol (ICAP) en mode Request Modification (reqmod) pouvait entraîner une surconsommation de ressources mémoire ou un blocage du proxy HTTP.
Référence support 57326
Lorsqu'un e-mail contenait une commande de fin de ligne erronée dans ses données, la connexion était réinitialisée uniquement entre le client et le firewall, le serveur restant en attente jusqu'à l'expiration de la connexion. Cette anomalie a été corrigée.
Référence support 58824
Lorsqu'un client envoyait une commande RESET à destination du serveur de messagerie, la connexion était réinitialisée uniquement entre le client et le firewall, le serveur restant en attente jusqu'à l'expiration de la connexion. Cette anomalie a été corrigée.
Référence support 56475
Lorsqu'un e-mail contenait une adresse émettrice ou destinataire excédant la taille définie par la RFC (partie locale ou nom de domaine), le proxy ne clôturait pas la connexion après l'envoi du message d'erreur ("553 Localpart too long" ou "553 Domain name too long"). Ce problème a été corrigé.
Référence support 59420
Le proxy pouvait refuser de se lancer sur un firewall utilisant une règle de filtrage avec au moins une case de destination des traces décochée (onglet Configuration Avancée du module Action dans la boîte d'édition d'une règle de filtrage). Ce problème a été corrigé.
Référence support 58567
Remise en configuration d’usine
L'aide du script de remise en configuration d’usine (defaultconfig) présentait une explication erronée pour l'option « –D » (Only Restore the data partition on G2 hardware). Cette anomalie a été corrigée (Only Restore the data partition).
Référence support 56394
Proxies – Firewalls modèle SN 910
Les limites en nombre de connexions autorisées pour les proxies (HTTP, SSL, SMTP, POP3 et FTP) des Firewalls modèle SN910 étaient incorrectes. Elles ont été augmentées pour correspondre aux véritables performances autorisées par ce modèle.
Référence support 57286
IPsec
Dans une configuration présentant un tunnel IPsec site à site et une politique IPsec Anonyme (utilisateurs nomades), la désactivation du tunnel site à site (état du tunnel à off ) ne supprimait pas le correspondant du fichier de configuration IPsec. Cette anomalie, qui provoquait le dysfonctionnement des connexions nomades, a été corrigée.
IPsec (IKEv2)
Référence support 54831
Lors de la renégociation d’une phase 1 de tunnel IPsec en IKEv2, le moteur IPsec détruisait la SA existante (Security Association – Association de Sécurité) ainsi que les SA filles avant de négocier la nouvelle SA.
Ce comportement, qui pouvait provoquer des pertes de paquets importantes, a été modifié afin de procéder en premier lieu à la négociation de la nouvelle SA avant de détruire les anciennes.
Référence support 59152
Un problème pouvant empêcher l'établissement de tunnels IPsec IKEv2 à destination des firewalls modèle SN150 a été corrigé.
Référence support 59280
Le nombre de SA IKE pour un même tunnel IPsec IKEv2 pouvait augmenter au fil du temps sans que les SA inutilisées ne disparaissent. Cette anomalie a été corrigée.
Haute Disponibilité
Référence support 56268
L'ajout ou la suppression d'une interface dans un agrégat (LACP) n'était pas répercutée sur l'indicateur de qualité du mécanisme de Haute Disponibilité. Cette anomalie a été corrigée.
Référence support 57056
Une optimisation dans les paramètres de détection de perte du firewall actif sur problème électrique (paramètre ConsensusTimeout) a permis de réduire de manière importante le délai de bascule du cluster.
Référence support 56613
Après plusieurs redémarrages accidentels du moteur de gestion de la Haute Disponibilité, les jetons associés n'étaient pas supprimés. La table des jetons pouvait ainsi être saturée et empêchait alors le démarrage d’autres services du firewall. Ce problème a été corrigé.
Référence support 56478
Une instabilité du moteur de synchronisation des données provoquait un redémarrage en boucle du service de gestion de la Haute Disponibilité. Ce dysfonctionnement pouvait entraîner un passage du firewall passif en mode actif, les deux firewalls du cluster devenant alors actifs. Ce problème a été corrigé.
Référence support 50048
Un changement de rôle suite au redémarrage du membre actif du cluster pouvait entraîner une désynchronisation concernant les tunnels IPsec négociés par les deux membres du cluster.
Référence support 54289 - 58842
Lors d'un changement de rôle des firewalls au sein d'un cluster, la restauration des connexions actives ne tenait pas compte de la filiation de ces connexions (flux de connexion / flux de données). Les flux de données pour des protocoles de type FTP n'étaient ainsi pas transférés. Ce problème a été corrigé.
Référence support 55076
Protection applicative
Dans une configuration utilisant le moteur antiviral Karspersky, l’analyse d’un fichier de type bombe de décompression (zip bomb) pouvait provoquer une saturation de la partition temporaire, induire une charge CPU importante et aboutir à une erreur d’analyse. Ce problème a été corrigé.
Filtrage et NAT
Référence support 56570
Lorsque le nom saisi pour une règle de filtrage excédait la taille maximale autorisée, celle-ci n'était pas précisée dans le message d'erreur. Cette anomalie a été corrigée et il est désormais indiqué que ce nom ne doit pas excéder 255 caractères.
Référence support 56672
Lors du survol d'un groupe de services utilisé dans une règle de filtrage, l'infobulle détaillant l'ensemble des services inclus dans le groupe n'était pas affichée. Cette anomalie a été corrigée.
Référence support 58535
Lors du survol d'un service utilisé dans une règle de filtrage, les informations présentes dans l'infobulle étaient incomplètes. Cette anomalie a été corrigée.
Référence support 59297
Lors du survol d'un objet réseau de type Plage d'adresses IP utilisé dans une règle de filtrage, l'infobulle affichait par erreur le message "Objet non trouvé". Cette anomalie a été corrigée.
Référence support 55190
Routage par politique (PBR)
Dans une configuration telle que :
- Une route statique est appliquée à un réseau,
- Une règle de filtrage met en oeuvre du routage par politique (PBR) à ce même réseau pour un port particulier,
- De la translation d'adresses est réalisée en sortie de firewall,
le rechargement des règles de filtrage empêchait les connexions correspondant à la règle de PBR de s’établir.
Référence support 50977
DNS dynamique
Les modifications d'adresse IP du firewall n'étaient plus répercutée chez le fournisseur de DNS Dynamique lorsque le protocole SSL était utilisé. En effet, la vérification du certificat de ce fournisseur échouait. Ce problème a été corrigé.
Référence support 55728
Configuration
La modification du nom du firewall (module Système > Configuration) n'était répercutée ni dans le nom d'émetteur des alertes par e-mail, ni dans le tableau de bord de SN Real-Time Monitor. Cette anomalie a été corrigée.
Référence support 56734
Événements système
Le rapport généré lors d’un blocage d’attaque par force brute ne contenait pas l’adresse IP source bannie. Cette anomalie a été corrigée.
Réseau
Référence support 57328
VLAN
Le dernier fragment d'un paquet UDP destiné à emprunter un VLAN n'était pas correctement transmis par le firewall à l'interface parente du VLAN. Ce problème a été corrigé.
Interfaces virtuelles
Référence support 53881
Lorsqu’une interface virtuelle GRE créée initialement comme inactive se voyait attribuer une adresse IP, son changement d’état n’était pas immédiatement répercuté dans l’interface Web d’administration. Il était ainsi nécessaire de changer de module puis de revenir dans le module interfaces virtuelles pour visualiser ce changement. Cette anomalie a été corrigée.
Référence support 58685
Les statistiques de débit sortant des interfaces virtuelles IPsec affichaient toujours une valeur nulle. Cette anomalie a été corrigée.
Prévention d’intrusion
Référence support 57396
Lorsque des flux utilisant systématiquement le même port source traversaient une règle en mode Firewall ou IDS, la réinitialisation de la première connexion empêchait l’établissement des connexions immédiatement suivantes. En effet, celles-ci étaient alors considérées comme également réinitialisées. Ce problème a été corrigé en autorisant la réutilisation immédiate d’un même port source dans les modes Firewall et IDS (TCP Closed FastReuse).
Référence support 53011 - 58465
Application TeamViewer
Suite à une évolution de l'application TeamViewer, l'analyse IPS des flux relatifs à cette application déclenchait à tort l'alarme bloquante « Paquet SSL invalide ». Ce problème a été corrigé.
Référence support 53094
Protocole RTSP (Real-Time Streaming Protocol)
Le moteur de prévention d’intrusion bloquait à tort l’en-tête Scale de la méthode Play. Cette anomalie a été corrigée.
Référence support 51867
Protocole HTTP
Dans une configuration utilisant le routage par politique (PBR) pour les flux HTTP, l’activation de l’option Appliquer la règle de NAT sur le trafic analysé (Configuration globale du protocole HTTP dans le module Protection applicative > Protocoles) provoquait un routage incorrect des paquets issus du proxy
Référence support 53640
Le mécanisme de filtrage YouTube for Educaction n'étant plus actif, il a été remplacé par le mécanisme Restrictions Youtube. Celui-ci peut être activé et paramétré (limitation stricte ou modérée) dans l'onglet IPS du protocole HTTP (module Protection applicative > Protocoles).
Référence support 58409
Protocole SIP
Le nombre maximum de connexions filles autorisées pour le protocole SIP a été augmenté afin de permettre :
- 127 appels simultanés sur les modèles U30S, U70S, SN150,
- 127 appels simultanés sur les modèles U30S, U70S, SN150, SN160(W), SN200, SN210(W), SN300 et SN310,
- 1023 appels simultanés pour les autres modèles,
contre 16 auparavant pour l'ensemble des modèles.
Référence support 53886
Protocole ICMP
Lors de la réception ou de la transmission de plusieurs requêtes ICMP présentant un même identifiant, une même séquence et des données différentes, le firewall ne prenait pas en compte les paquets de réponse de la première requête et bloquait les suivantes (alarme "Modification des données ICMP ECHO"). Cette anomalie a été corrigée.
Interface Web d'administration
Référence support 54459
Protocole SSL
Lorsqu'une case était cochée dans la section Négociation SSL d'un profil déterminé, et que cette modification était appliquée, la même case se retrouvait cochée à tort dans l'ensemble des profils. Ce problème a été corrigé.
Supervision - rapports - Journaux d'audit
Référence support 56766
Rapports
Sur les modèles de firewalls ne possédant pas de partition de traces (modèles sans disque dur), une anomalie dans la gestion de la case à cocher d'activation des rapports (onglet Stockage local du module Notifications > Traces - Syslog - IPFIX) a été corrigée.
Référence support 57247
Supervision
Lorsque les rapports étaient désactivés et que les graphiques historiques étaient désactivés (module Notifications > Configuration des rapports), les graphiques historiques couvrant les 30 derniers jours ne pouvaient pas être affichés. Ce problème a été résolu.
Référence support 53352
Journaux
Les commandes de supervision de services inactifs du firewall (MONITOR POWER, MONITOR FWADMIN,…) étaient tracées à tort dans le fichier de journaux l_server. Cette anomalie a été corrigée.
Référence support 54926
Routage multicast
Un compte utilisateur ayant tous les droits d'administration ne pouvait pas appliquer une modification de configuration réalisée dans le module Réseau > Routage multicast (message d'erreur "Il n'y a rien à sauvegarder"). Cette anomalie été corrigée.
Stormshield Network Real-Time Monitor
Référence support 58502 - 57414
Utilisateurs
La commande de suppression des utilisateurs, disponible via le menu contextuel (clic droit) du module Utilisateurs, ne fonctionnait plus. Ce problème a été corrigé.