IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.5.0
Système
Haute Disponibilité
Référence support 65701 - 65946
Un problème d'accès concurrentiel au fichier de suivi de la haute disponibilité entraînait la suppression inopinée du champ syncid de ce fichier. L’absence de ce champ provoquait alors des synchronisations de configuration à répétition entre les membres du cluster. Ce problème a été corrigé.
Référence support 66802
Dans un cluster présentant une différence de qualité ou une priorité définie, un redémarrage du firewall prioritaire ou avec la qualité la plus élevée entraînait la reprise immédiate de son rôle de firewall actif sans synchroniser complètement les informations. Ceci a été corrigé en ajoutant une temporisation permettant la synchronisation avant le changement de rôle. Cette temporisation, fixée par défaut à 15 secondes, est uniquement modifiable à l'aide des lignes de commande CONFIG HA CREATE et CONFIG HA UPDATE. Le détail de ces commandes est disponible dans le document CLI SERVERD Commands Reference Guide.
Référence support 67553
Après un swap HA, les requêtes ARP gratuites émises par le nouveau membre actif du cluster SNS pouvaient être ignorées par les équipements réseau d'autres constructeurs du fait d'une anomalie dans le format de ces requêtes (RFC 5944). Cette anomalie a été corrigée.
Référence support 67776
L'indicateur de qualité de la haute disponibilité était faussé lorsqu'une carte SD était insérée dans l'un des membres du cluster. Ce problème a été corrigé.
Référence support 67832
Une anomalie dans le fonctionnement du mécanisme de suivi de la haute disponibilité, qui pouvait entraîner une consommation mémoire excessive, a été corrigée.
Qualité de service
Référence support 67879
Lors de la mise en place d'une réservation ou limitation de bande passante (CBQ), la bande passante effective était largement inférieure à la limitation de bande passante configurée. Ce problème a été corrigé.
Configuration - Paramètres réseau
Référence support 58987
Un firewall pour lequel aucun serveur DNS n'était déclaré pour assurer sa propre résolution de noms redémarrait en boucle lors de l'application d'une mise à jour de firmware. Ce problème a été corrigé.
Authentification
Références support 64844 - 65776
Une anomalie dans la gestion du compteur de tentatives d'attaque par force brute pouvait entraîner un refus d'authentification pour un utilisateur légitime. Cette anomalie a été corrigée.
Restauration de configuration
Référence support 58925
Une anomalie dans le contrôle de validité d'un fichier de restauration de configuration a été corrigée.
Filtrage et NAT
Référence support 67922
Dans une règle regroupant un nombre conséquent d'objets, la tentative d'ajout d'un objet supplémentaire (source, destination, port...) entraînait une déconnexion de l'interface Web d'administration.
Filtrage et NAT - Politique globale
Référence support 66325
Le changement de port du proxy HTTP explicite n'était pas pris en compte dans la génération des règles de filtrage globales. Cette anomalie a été a été corrigée.
Proxies
Référence support 66653
L'émission par le proxy de paquets à destination d'un serveur ICAP au travers d'une règle de filtrage en mode Firewall générait des problèmes de latence pour la consultation des sites Web. Ce problème a été corrigé.
Référence support 67713 - 67924
Lors de l'initialisation du mécanisme de journalisation (logs) du proxy SMTP, la vérification de l'existence d'une politique de filtrage active pouvait entraîner un blocage du proxy SMTP.
VPN SSL - UDP
Référence support 67293
Le service SSL VPN sur UDP pouvait ne pas fonctionner dans le cas de configurations disposant de plusieurs passerelles d'accès à Internet ou de plusieurs adresses IP sur une même interface. Pour résoudre ces problèmes, un champ permettant de définir l'adresse IP d'écoute du service sur UDP a été ajouté dans le module VPN > VPN SSL.
Référence support 66315
Le bouton Exporter le fichier de configuration permettait d'exporter une archive contenant la configuration du serveur. Cette archive n'étant pas exploitable, elle a été remplacée par une archive contenant la configuration typique du client (CA VPN SSL et certificat serveur, configuration réseau pour le client et le client mobile), comme celle disponible sur le portail d'authentification.
Analyse Sandboxing
Références support 57407
Suite à un redémarrage du firewall, les fichiers pouvaient ne plus être transmis pour l'analyse Sandboxing (Breach Fighter). Ce problème a été corrigé.
Réseau
Relai DHCP
Référence support 66767
Dans une configuration utilisant le relai DHCP, l'activation des interfaces Wi-Fi pouvait empêcher le relai des requêtes DHCP issues de ces interfaces Wi-Fi. Ce problème a été corrigé.
Interfaces
Référence support 58822
Dans une configuration telle que :
- Plusieurs interfaces non protégées sont incluses dans un bridge,
- Une route statique sort d'une de ces interfaces non protégées (autre que la première).
Les premiers paquets réseau devant utiliser la route statique étaient envoyés à tort vers la première interface non protégée du bridge.
Bien que ce problème ait été corrigé, veuillez noter que le cas décrit dans cette configuration n'est pas supporté (cf. Précisions sur les cas d'utilisation > Réseau > Interfaces).
Prévention d'intrusion
Protocole HTTP
Référence support 65592
Les en-têtes HTTP "Content-Security-Policy" et "Authorization: NTLM" susceptibles de déclencher l'alarme bloquante "Débordement dans le protocole HTTP" ne pouvaient être configurés qu'en ligne de commande. Ils ont été ajoutés dans le panneau de configuration de la Taille maximale des champs HTTP (Protection applicative > Protocoles > HTTP > Configuration avancée).
Références support 65250 - 65820
L’utilisation du proxy HTTP implicite combinée à l’activation de l’option Appliquer la règle de NAT sur le trafic analysé (menu Protection applicative > Protocoles > HTTP > Accéder à la configuration globale > Proxy) générait une quantité très importante de messages d’erreur à destination du port console (messages du type « XXX already released without rule YYYY»). La tentative d’affichage de ces nombreux messages provoquait une consommation CPU excessive et pouvait entraîner un blocage du firewall.
Protocole ICMP
Référence support 65930
L'alarme "Message ICMP Invalide" pouvait être déclenchée à tort lors du passage d'un paquet ICMP légitime sur un firewall ayant des tunnels IPsec déclarés. Cette anomalie a été corrigée.
Protocole S7
Référence support 67764
Le trafic S7 chiffré ne pouvant pas être analysé, les paquets étaient bloqués à tort par le déclenchement d'une alarme ("S7 : réponse sans requête correspondante" ou "S7 : protocole invalide"). Cette anomalie a été corrigée.
Paquets fragmentés
Références support 66850 - 66719
Une anomalie dans la gestion des paquets fragmentés pouvait entraîner à tort un blocage du premier fragment. Cette anomalie a été corrigée.
Mode IDS / Firewall
Référence support 65120
Dans une configuration telle que :
- Le firewall utilisait des règles de filtrage en mode IDS ou Firewall,
- Le proxy HTTP transparent était activé.
Une anomalie dans la gestion de la translation d'adresses pouvait entraîner un mélange des connexions présentant une même adresse IP source et un même port source. Cette anomalie a été corrigée.
Machines virtuelles
Microsoft Hyper-V
Références support 66627 - 67132
Sur une plate-forme Microsoft Hyper-V, une machine virtuelle disposant de plusieurs interfaces réseau pouvait rencontrer des problèmes d’activation de ses dernières interfaces après redémarrage. Ce problème a été corrigé.
Notifications
Alertes e-mail
Références support 66708 - 66782
Les e-mails de notification envoyés à l'aide du protocole STARTTLS étaient tronqués. Cette anomalie a été corrigée.
Agent SNMP
Référence support 67726
L'OID hrStorageType incluse dans la MIB "HOST-RESOURCES-MIB" ne retournait plus de résultats aux requêtes SNMP. Cette anomalie a été corrigée.
Matériel
Horloge du firewall
Référence support 58901
Lorsque la pile gérant l'horloge du firewall tombait en panne, celui-ci adoptait une date aléatoire à chaque démarrage. Si cette date était située avant la date de validité de la licence de l'équipement, le firewall redémarrait sans interruption. Cette anomalie a été corrigée.
Interface Web d'administration
Réseau Wi-Fi
Références support 65333 - 68006
L'interface Web d'administration refusait à tort l'utilisation des caractères spéciaux (point, tiret ...) pour définir le nom d'un réseau Wi-Fi (SSID). Cette anomalie a été corrigée.
Pour rappel, seul le caractère " est interdit dans ce champ.
VPN IPsec
Référence support 67688
Lorsqu'un identifiant de correspondant avait été défini pour un correspondant IPsec, cet identifiant ne pouvait plus être supprimé via l'interface Web d'administration. Ce problème a été corrigé.
Supervision de la QoS
Référence support 66587
Les données affichées dans les courbes de supervision de la QoS (Temps réel / Historique) ne correspondaient pas aux files d'attentes sélectionnées. Cette anomalie a été corrigée.
Journaux d'audit (logs)
Référence support 66838
Lorsqu'un nom de règle avait été spécifié pour une règle de filtrage, ce nom n'apparaissait pas dans la colonne Nom de règle du journal des connexions. Cette anomalie a été corrigée.
Référence support 67018
En mode Recherche avancée, glisser / déposer une adresse IP issue des colonnes Nom de la source ou Nom de la destination dans les critères de filtrage aboutissait à l'affichage d'une page vide de données. Cette anomalie a été corrigée.
Certificats
Références support 59271 - 66735 - 64509
Suite à l'import d'un certificat au format PKCS12 (incluant la chaîne complète de certification), celui-ci n'apparaissait pas dans la liste des certificats sélectionnables pour un correspondant VPN IPsec. Cette anomalie a été corrigée.
Traces - Syslog - IPFix
Référence support 67475
La jauge d'avancement du formatage d'un périphérique amovible (carte SD) ne disparaissait pas une fois l'opération terminée. Cette anomalie a été corrigée.
Authentification
Référence support 67256
L'interface sslvpn ne pouvait plus être sélectionnée dans la grille de correspondance entre profils d'authentification et interfaces. Cette anomalie a été corrigée.
Référence support 67587 - 67985
Lorsque la case Toujours afficher les éléments de configuration avancée présente dans les Préférences du firewall n'était pas cochée, les boutons de sélection de fichier de configuration proxy, de logo ou de feuille de style (menu Authentification > onglet Portail captif > Configuration avancée) n'étaient plus affichés sous Mozilla Firefox. Cette anomalie a été corrigée.
Référence support 68097
Titre
Le terme Debug était systématiquement présent dans l'onglet du navigateur affichant l'interface Web d'administration. Cette anomalie a été corrigée.
Objets réseau
Référence support 68250
Lors de la vérification d'utilisation d'un objet réseau, l'information affichée indiquait le numéro de ligne dans la politique de filtrage (incluant donc les séparateurs) plutôt que le numéro de la règle de filtrage utilisant l'objet. Cette anomalie a été corrigée.
Stormshield Network Real-Time Monitor
Vue machines
Référence support 67297
Depuis la version 3.3 de SNRTM, les statistiques des machines internes traversant un firewall Stormshield v2 n'étaient plus affichées. Cette anomalie a été corrigée.
Notez que les statistiques concernant les machines situées derrière des interfaces non protégées sont affichées pour les firewalls dont la version de firmware est comprise entre 3.0 et 3.2.1.