IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.3.0
Système
Haute Disponibilité
Référence support 64234
Le rechargement d'une politique de filtrage composée de plusieurs centaines de règles pouvait empêcher momentanément la communication des deux membres du cluster sur leur lien de Haute Disponibilité. Selon la durée de cette interruption, le firewall passif pouvait changer d'état pour se déclarer actif. Le rétablissement de la communication entre les deux firewalls provoquait alors une tentative de synchronisation complète de la table de connexions de la part des deux membres du cluster. Ce comportement, qui entraînait une charge anormalement élevée du cluster, a été corrigé.
Référence support 61400
Les informations concernant l'état de la Haute Disponibilité pouvaient ne plus s'afficher dans le tableau de bord, et un clic sur le module Haute Disponibilité provoquait le message d'erreur "Failure when loading high availability information". Ce problème a été corrigé.
Référence support 65614
Sous une forte charge, et en cas de perte d’un lien HA, le mécanisme de gestion de la Haute Disponibilité pouvait tenter de recréer ce lien sans y parvenir. Cette anomalie a été corrigée.
Référence support 65925
Un problème dans la restauration des liens entre connexions, lors d’un changement de rôle des firewalls au sein d’un cluster, pouvait entraîner un redémarrage du firewall. Ce problème a été corrigé.
Routage dynamique
Référence support 65730
Sur les firewalls modèle SN150, SN160(W), SN210(W) et SN310, le système ne prenait pas en compte les routes apprises par le moteur de routage dynamique Bird. Ce problème a été corrigé.
Configuration
Référence support 54377
La définition d'un serveur proxy pour l'accès à Internet du firewall (menu Système > Configuration > onglet Paramètres réseaux) provoquait un blocage du mécanisme de vérification des CRL (Certificates Revocation List). Ce problème a été corrigé.
Référence support 63972
Dans le module Système > Configuration > onglet Paramètres réseau, l'activation de l'utilisation d'un serveur proxy pour l'accès Internet du firewall obligeait à tort la saisie d'un identifiant et d'un mot de passe. Cette anomalie a été corrigée.
Interfaces GRETAP
Référence support 65589
Les adresses MAC associées aux paquets sortant d’un tunnel établi entre des interfaces GRETAP étaient erronées. Ce problème a été corrigé.
Agrégation de liens
Référence support 65755
Un dysfonctionnement dans la répartition des flux sur les interfaces physiques appartenant à un agrégat de liens a été corrigé.
Filtrage et NAT
Le mécanisme de rechargement des règles de filtrage a été optimisé. Ces optimisations sont particulièrement sensibles dans les cas suivants :
- Firewalls et clusters de firewalls prenant en charge un nombre très important de connexions,
- Politiques de filtrage regroupant plusieurs centaines de règles,
- Modifications d'alarmes liées à plusieurs protocoles réseau.
Référence support 64851
Le rechargement des règles de filtrage pouvait entraîner la suppression de connexions dont les connexions filles devenaient alors orphelines. Ce comportement a été modifié pour que ces connexions filles soient également supprimées.
Référence support 64508
Les connexions qui transitaient par une règle de filtrage utilisant un objet temps, pouvaient se retrouver associées à une règle invalide suite à l'expiration de cet objet temps. Ce comportement a été corrigé.
Référence support 64365
Le déploiement puis le repli d'un séparateur de règles étant considéré comme une modification de la politique de filtrage, l'enregistrement de cette modification entraînait un rechargement de la politique. Ce rechargement de politique n'est plus effectué.
Référence support 40421
L'identifiant de règle était identique pour toutes les règles implicites (0). Cet identifiant est devenu distinct pour chacune de ces règles.
Référence support 65227
Dans une configuration telle que :
• Du routage par politique de filtrage (PBR) était utilisé pour des flux sortants avec un routeur configuré en répartition de charge par adresse IP source,
• Les règles implicites pouvant autoriser ces flux étaient désactivées,
L'émission de paquets depuis le firewall via la commande réseau "tracert -s" pouvait provoquer un redémarrage de ce firewall. Ce problème a été corrigé.
Référence support 65990
L'assistant de création de règle d'inspection SSL ne permettait plus de préciser une interface source. Cette anomalie a été corrigée.
Portail d'authentification
Référence support 60488 - 60143
Le portail d'authentification (portail captif) était activé automatiquement sur tous les profils lors de la migration d'une configuration depuis la version 2.7 (ou 2.x) vers une version 3.x de firmware. Cette anomalie a été corrigée.
Proxies
Référence support 60134
L'accès à des sites utilisant un mécanisme de partage d'origine croisées (CORS : Cross-Origin Resource Sharing) depuis une machine multi-utilisateur ne permettait pas d'afficher les ressources externes du site visité. Ce problème a été corrigé en intégrant le champ Access-Control-Allow-Origin à la réponse du proxy.
Référence support 61499
La taille du cache réservé à la génération des certificats utilisés par le proxy SSL a été augmentée afin de corriger des problèmes de performances et de blocages possibles de ce proxy.
Référence support 60616 - 64504
Dans une configuration utilisant le proxy HTTP (proxy implicite ou proxy explicite) et soumise à des requêtes de type filtrage d'URL, des problèmes dans la gestion des requêtes HTTP multiples au sein d'une connexion ("pipelining HTTP") ont été corrigés.
Référence support 43089
Une anomalie dans l'affectation du profil d'inspection pour les règles de filtrage utilisant le proxy SSL a été corrigée.
Client NSRPC
Référence support 64100
Le client NSRPC pour plate-forme Microsoft se voyait refuser la connexion aux firewalls modèle SN160(W), SN210(W) et SN310. Ce problème a été corrigé.
Agent SNMP
Référence support 64135
L'émission volumineuse de notifications (traps) SNMP pouvait entraîner un blocage du service SNMP du firewall. Ce problème a été corrigé.
Référence support 59492
Les notifications SNMP non génériques correspondant aux événements système mineurs ou majeurs pouvaient ne pas être émises. Cette anomalie a été corrigée.
Référence support 64787
La description de l'OID snsHASyncStatus (STORMSHIELD-HA-MIB) était erronée (inversion des codes retour pour les états synchronisé / non synchronisé). Cette anomalie a été corrigée.
Cache DNS
Référence support 58819 - 58633
Lorsque le cache DNS était activé et utilisé par les réseaux protégés du firewall, la création ou la modification d'une interface protégée n'était pas répercutée dans la configuration de ce cache. Cette anomalie a été corrigée.
Agent SSO
Référence support 59778
La configuration d'un agent SSO de secours sans précision de mot de passe entraînait une erreur de fonctionnement du processus de gestion du portail d'authentification. Ce problème a été corrigé.
Référence support 59287
L'agent SSO installé sur un poste de travail Microsoft Windows pouvait transmettre au firewall soit le FQDN du domaine Microsoft Active Directory (nom de l'annuaire LDAP externe déclaré dans le firewall), soit son nom NETBIOS. Ce comportement, qui provoquait des problèmes d'authentification, a été modifié.
Référence support 61169
L'agent SSO installé sur un poste de travail Microsoft Windows pouvait envoyer au firewall un nom de domaine Microsoft Active Directory vide lors d'un changement d'adresse IP de ce poste. Ce comportement, qui provoquait des problèmes d'authentification, a été corrigé.
Référence support 64274
La connexion entre l'agent SSO et le firewall se fermait à intervalles réguliers lorsque le groupe d'utilisateurs défini dans la règle d'authentification était vide. Cette anomalie a été corrigée.
Référence support 53806
L'option avancée "Activer la vérification DNS des machines"permet de gérer les changements d'adresses IP des postes utilisateurs et d'authentifier un utilisateur connecté sur une machine disposant de plusieurs adresses IP.
VPN SSL
Référence support 65427 - 65392
La personnalisation du port d'écoute UDP du portail VPN SSL n'était pas prise en compte. Cette anomalie a été corrigée.
VPN SSL Portail
Référence support 60672
Lorsque le port utilisé pour l'authentification sur le firewall et le portail VPN SSL avait été modifié, la connexion au VPN SSL Portail via l'application Java Webstart échouait. Ce problème a été corrigé.
Référence support 59423
Les serveurs Web protégés par un firewall lui même derrière un équipement réalisant de la translation d'adresses (NAT) n'étaient pas joignables via le VPN SSL Portail, le client java essayant de se connecter à l'adresse privée du firewall. Ce comportement a été corrigé.
Référence support 60194
Le menu permettant de choisir la méthode de chargement des applications disponibles via VPN SSL Portail n'était disponible que lorsque des serveurs d'applications et des serveurs Web étaient définis. La méthode de chargement via l'applet java était alors automatiquement utilisée. Cette anomalie a été corrigée.
VPN IPsec
Référence support 59007
Le passage à la version 1 du protocole IKE d’un correspondant nomade défini à l'origine en IKEv2 avec un identifiant local (champ optionnel), et dont le tunnel était établi, provoquait un redémarrage en boucle du service de gestion des tunnels IKEv1. Ce problème a été corrigé.
Référence support 64496
L'établissement de tunnels en mode nomade au travers d'interfaces IPsec virtuelles (VTI) échouait, car l'interface source affectée était erronée (interface IPsec standard à la place de l'interface IPsec virtuelle). Ce problème a été corrigé.
VPN IPsec - IKEv1
Référence support 64766
Le moteur de gestion des tunnels IPsec IKEv1 ne prenait pas automatiquement en compte la modification d'un certificat (renouvellement) ou d'une autorité de certification. Cette anomalie a été corrigée.
VPN IPsec - IKEv2
Référence support 66110
Le schéma de ré-authentification "Make-before-break" utilisable pour les associations de sécurité (SA) n'était pas pris en compte s'il était uniquement défini dans les politiques IPsec globales. Cette anomalie a été corrigée.
Notez que ce schéma ne peut être activé qu'au travers du fichier de configuration du profil VPN actif (champ MakeBeforeBreak de la section "[Global]" du fichier ConfigFiles/Global/VPN/xx).
Sauvegardes automatiques
Référence support 65510
La méthode d'authentification Digest pour le mécanisme de sauvegardes automatiques vers un serveur personnalisé échouait. Ce problème a été corrigé.
Qualité de service
Référence support 59940
A la création d'une file d'attente, une limite trop basse de bande passante maximum n'était pas prise en compte bien qu'aucun avertissement ne soit affiché. La bande passante maximum saisie ne peut plus être inférieure à 100kbs.
Clé USB
Référence support 63996
Les clés USB formatées selon le système de fichiers FAT32 pouvaient ne pas être reconnues au démarrage sur les firewalls modèle SN150. Cette anomalie a été corrigée.
Réseau Wi-Fi
Référence support 59938
Les caractères "$" et "!" n'étaient pas acceptés pour définir une clé WPA2. Cette anomalie a été corrigée.
Journaux d'audit
Référence support 61232
Le message indiquant qu'un module d'alimentation était manquant pouvait être envoyé à tort pour les deux modules sur un firewall modèle SN6000. Ce problème a été corrigé.
Référence support 65456
Le champ représentant le numéro de protocole IP pour IPFIX prenait systématiquement la valeur "0" (zéro) dans les traces. Cette anomalie a été corrigée.
Supervision - Vue utilisateurs
Référence support 60441
Suite à une modification de la commande dans le firmware, le menu contextuel "Supprimer l'utilisateur de l'ASQ" n'était plus fonctionnel. Ce problème a été corrigé.
Prévention d'intrusion
Protocole HTTP
Référence support 59442 - 59639
Une liste blanche a été ajoutée dans la configuration du protocole HTTP. Cette liste permet de définir les champs d'en-tête de réponse du serveur pouvant dépasser la taille de 4096 octets (champ Content-Security-Policy par exemple).
Référence support 65504
Un problème dans le support des requêtes HTTP contenant un champ content-type de type text/vbscript a été corrigé.
Protocole EtherNet/IP
Référence support 64012
Lors du transport du protocole EtherNet/IP sur la couche UDP, les réponses aux requêtes de type ListIdentity, ListServices ou ListInterfaces pouvaient être considéres comme inadéquates et bloquées par une alarme du type "EtherNet/IP : protocole invalide". Cette anomalie a été corrigée.
Protocole UDP
Référence support 43718
Lorsque le serveur destinataire d'un flux UDP était momentanément indisponible, les nombreux messages ICMP de type "destinataire inaccessible" générés déclenchaient l'alarme bloquante "Message ICMP Invalide (replay)". Une alarme dédiée "ICMP replay (connexions UDP)" pouvant être mise en action "passer" a été créée.
Protocole Netbios - CIFS
Référence support 64007
Une connexion présentant plusieurs séquences de paquets non reçus et sur laquelle l'analyse de prévention d'intrusion avait débuté pouvait potentiellement entraîner un blocage du firewall.
IPv6
Référence support 59217
L'envoi de requêtes ICMP (Ping) à destination d'une interface du firewall paramétrée avec une adresse IPv6 échouait en provoquant l'alarme bloquante "Usurpation d'adresse IP (type=1)". Cette anomalie a été corrigée.
Protocole SIP
Référence support 61228
Lorsque les règles de filtrage pour les connexions SIP étaient en mode firewall ou lorsque l'alarme "Champ SDP nécessaire manquant dans le protocole SIP" était configurée avec l'action Passer, une connexion SIP dans laquelle un champ SDP (Session Description Protocol) était manquant (champ media par exemple) provoquait un blocage du moteur de prévention d'intrusion pour l'analyse du protocole SIP. Ce problème a été corrigé.
Utilisateurs
Référence support 64493
Un problème d'accès concurrentiel aux données concernant les utilisateurs pouvait entraîner une tentative de suppression d'un utilisateur déjà désauthentifié. Ce problème, qui pouvait potentiellement provoquer un blocage ou un redémarrage du firewall a été corrigé.
Protocoles générant des connexions filles
Référence support 65583
Dans une configuration soumise à un trafic élevé, un problème d'accès concurrentiels pour des flux engendrant de nombreuses connexions filles pouvait entraîner un blocage du firewall. Des améliorations ont été apportées dans la gestion de ces connexions et le nombre maximal de connexions filles générées pour une connexion peut être paramétré.
Interface Web d'administration
Relai DHCP
Référence support 51631
Bien qu'un bridge ne puisse pas être utilisé comme interface d'écoute pour un relai DHCP, l'interface Web d'administration présentait les bridges dans la liste des interfaces sélectionnables. Cette anomalie a été corrigée.
Authentification
Référence support 50899
Lors de l’ajout d’une règle d’authentification, un objet créé au sein de l’assistant n’était pas directement sélectionnable pour cette même règle. Cette anomalie a été corrigée.
Référence support 59996
Les modifications apportées à une politique d'authentification incluant les méthodes Agent SSO et SPNEGO n'étaient pas visibles lors d'un affichage ultérieur de cette politique d'authentification. Cette anomalie a été corrigée.
Objets
Référence support 64620
Lors de la vérification d'utilisation d'un objet, un clic sur le lien vers la politique de filtrage/NAT l'utilisant affichait systématiquement la politique de filtrage/NAT en cours d'utilisation. Cette anomalie a été corrigée.
Objets réseau
Référence support 59983
Lors de l'affichage du détail d'un objet réseau de type "Ports - Plages de ports", le nom de cet objet ne pouvait plus être modifié. Cette anomalie a été corrigée.
Filtrage et NAT
Référence support 60576
La sélection d'un séparateur de règles situé sous la barre inférieure de la dernière page de règles, et donc impliquant l'utilisation de l'ascenseur de fenêtre, ne fonctionnait pas correctement. Cette anomalie a été corrigée.
Configuration des annuaires
Référence support 59694
Après avoir affiché la configuration d'un annuaire LDAP externe utilisant un serveur de secours, le champ serveur de secours n'était pas effacé lors de l'affichage d'un annuaire LDAP n'utilisant pas cette fonctionnalité. Cette anomalie a été corrigée.
Journaux d'audit
Référence support 56667
L'affichage par groupe sur certaines colonnes (nom de la source, nom de la destination, nom du port source...) ne fonctionnait pas correctement. Cette anomalie a été corrigée.
Référence support 59272
Une anomalie dans la création de filtres avancés permettait d'ajouter un nouveau filtre sans que celui-ci ne s'applique aux traces affichées. De plus, un clic ultérieur sur le bouton Appliquer de ce filtre affichait à tort le message "Ce filtre existe déjà". Cette anomalie a été corrigée
Filtrage d'URL
Référence support 61237
Lorsque les noms de politiques de filtrage d'URL personnalisées commençaient par une chaîne de caractères identique, la sélection d'une de ces politiques au sein d'une règle de filtrage aboutissait systématiquement à la sélection de la première d'entre elles. Ce problème a été corrigé.
Routage
Référence support 64426
La sélection d'un périphérique de type clé USB/Modem comme passerelle pour une route statique ne pouvait pas être validée. Cette anomalie a été corrigée.
Objets multi-utilisateurs
Référence support 55877
Lors d'une connexion à l'interface Web d'administration avec le navigateur Microsoft Internet Explorer version 11, les ajouts d'objets multi-utilisateurs n'étaient pas pris en compte. Cette anomalie a été corrigée.
Mise en quarantaine
Référence support 63949
Lorsqu'une durée de quarantaine était positionnée à plus de 49 jours, la quarantaine effective se limitait à 17 jours et aucun message d'information n'était affiché. Pour des raisons techniques, la durée de quarantaine maximale a été limitée à 49 jours.
Microsoft Internet Explorer
Référence support 65187
L’utilisation du navigateur Microsoft Internet Explorer, y compris en version 11, pouvait rendre impossible l’affichage ou la modification de certains champs dans les modules de configuration. Pour un fonctionnement optimal de l'interface d'administration des firewalls, il est recommandé d'utiliser la dernière version des navigateurs Microsoft Edge, Google Chrome et Mozilla Firefox (version LTS - Long Term Support).
SN Real-Time Monitor
Vue Événements
Référence support 63848
Les dates affichées dans la vue Événements étaient formatées uniquement en heures et minutes. Les secondes y ont été ajoutées.
Vue Utilisateurs
Référence support 60441
Suite à une modification de la commande dans le firmware, le menu contextuel Supprimer l'utilisateur de l'ASQ n'était plus fonctionnel. Ce problème a été corrigé.
Référence support 61017 - 65779
La méthode affichée pour les utilisateurs authentifiés via un agent SSO sur un firewall en version 3 était incorrecte (inconnue). Cette anomalie a été corrigée.
Vue VPN SSL
Référence support 64785
La fonction permettant de mettre fin à un tunnel VPN SSL depuis l’interface de SN Real-Time Monitor (menu contextuel Supprimer ce tunnel dans l'onglet Tunnels VPN SSL) ne fonctionnait plus avec des firewalls SNS en version 3. Cette anomalie a été corrigée.
Référence support 64785
Suite à la migration d’un firewall en version 3.2.0, il n’était plus possible d’afficher les tunnels VPN SSL établis sur ce firewall (onglet Tunnels VPN SSL). Cette anomalie a été corrigée.
Vue Management de vulnérabilités
Référence support 59980
Un message « Impossible d’afficher l’aide en ligne (No help available) » était affiché lors de la sélection d’une vulnérabilité détectée. Cette anomalie a été corrigée.
Vue Active Update
Référence support 59543
Les informations de mise à jour de « Base de réputation IP publiques» et « Base de données des signatures contextuelles personnalisées » affichaient à tort l’avertissement « Pas de licence » dans la colonne des dates d’expiration. Ces fonctionnalités n’étant pas soumises à licence, cette anomalie a été corrigée et la mention <n/a> est affichée.
Vue d’ensemble
Référence support 59564
La colonne Antivirus, qui indiquait à tort la mention « Désactivé » lorsque le moteur antiviral Kaspersky était utilisé sur le firewall, a été masquée.
Administration du firewall
Référence support 64774 – 60480
Le menu Applications > Lancement de l’application d’administration et le bouton de connexion automatique (Vue d’ensemble) ne fonctionnaient plus avec un firewall dont le port d’administration avait été modifié (port HTTPS par défaut) car l’URL de connexion était erronée. Ce problème a été corrigé.
Lien vers la base de connaissances Stormshield
Référence support 64117
Le lien permettant de se connecter à la base de connaissances Stormshield (Security KB) ne fonctionnait pas.
Il est nécessaire de modifier ce lien (valeur correcte : https://securitykb.stormshield.eu/) dans le menu Fichier > Préférences > onglet Divers et de redémarrer l'application.