IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.7.0 LTSB
Matériel
Références support 70452 - 70242
Sur un firewall modèle SN2100 standard (proposé par défaut avec un seul disque, mais éligible à l'option RAID) ou sur les modèles ne proposant pas de RAID, les résultats des tests S.M.A.R.T laissaient apparaître un message d'alerte concernant l'absence du deuxième disque.
Il est donc recommandé de mettre à jour en version de firmware 3.7.0 les firewalls modèle SN2100 afin d'éviter l'affichage de ce message en cas de non souscription de l'option RAID.
Système
VPN IPsec - IKEv2 - Tunnels nomades
Référence support 69737
L'établissement d'un très grand nombre de tunnels IPsec IKEv2 nomades (environ 17000 tunnels) entraînait une désynchronisation entre les SAD (Security Association Database) et SPD (Security Policy Database), bloquant alors le trafic au travers de ces tunnels. Ce problème a été corrigé.
Stormshield Management Center
Référence support 68469
Lorsqu'un serveur SMC établit une connexion à l'interface Web d'administration d'un firewall dont la version de firmware est absente de la base SMC, le firewall génère une archive locale de cette interface d'administration pour la transmettre au serveur.
Sur les petits modèles de firewalls (SN150), cette archive pouvait saturer l'espace de stockage. Cette archive est désormais créée en mémoire avant d'être transmise au serveur.
Haute Disponibilité
Références support 69112 - 69141
Lors de la migration d'un cluster de firewalls d'une version SNS 2.X vers une version SNS 3.5.1 ou supérieure, le firewall devenu passif suite à sa mise à jour ne passait pas actif lors de la mise à jour de l'autre membre du cluster. Ce problème a été corrigé.
Objets routeur
Références support 68887 - 69418
Les tests de disponibilité d'une passerelle définie au sein d'un objet routeur généraient à tort une entrée dans les journaux d'audit (logs) lorsque cette passerelle passait d’un état interne « à priori non joignable » (un test de disponibilité échoué) à l’état interne « joignable ». Cette anomalie a été corrigée.
Réseau
Gestion des entrées ARP
Références support 69450 - 69312
Le service de création des entrées ARP (exemple : création d'une règle de NAT avec publication ARP) s'arrêtait complètement dès le premier échec de création d'une entrée. Cette anomalie a été corrigée.
Prévention d'intrusion
Protocole TLS
Référence support 68896
L'absence de certaines suites de chiffrements dans l'implémentation du protocole TLS 1.3 provoquait des alarmes "Niveau de chiffrement non autorisé". Cette anomalie a été corrigée.
Protocole ARP
Référence support 69239
Après le déplacement d'une machine sans modification de son adresse IP, d'une interface vers une autre au sein d'un même bridge, les paquets à destination de cette machine étaient toujours envoyés vers l'ancienne interface de connexion (pas de mise à jour de la table ARP). Cette anomalie a été corrigée.
Protocole TCP - Multipath
Référence support 69908
La réception de paquets TCP avec une option Multipath de taille nulle :
- dans une règle en mode firewall,
- dans une règle en mode IDS ou IPS avec l'action de l'alarme "Multipath TCP" forcée à Autoriser,
provoquait un blocage du firewall. Ce problème a été corrigé.
Interface Web d'administration
Règles inactives
Référence support 70084
Lorsqu'une règle de Filtrage ou de NAT était positionnée en inactive (Etat off), les valeurs des champs correspondant à cette ligne (Source, Destination,...) n'étaient plus grisées. Cette anomalie a été corrigée.