Correctifs de SNS 3.7.13 LTSB

Système

VPN IPsec IKEv1

Référence support 77358

Lors de l'établissement d'un tunnel VPN IPsec avec un utilisateur distant (appelé également mobile ou nomade), la phase 1 de la négociation IKE pouvait échouer du fait que les paquets fragmentés reçus n'étaient pas reconstruits correctement. Cette anomalie a été corrigée.

Référence support 65964

Le moteur de gestion IPsec (Racoon) utilisé pour les politiques IKEv1 n’interrompt plus la négociation d'une phase 2 avec un correspondant lorsque la négociation d'une autre phase 2 avec le même correspondant échoue.

VPN IPsec IKEv2 ou IKEv1 + IKEv2

Référence support 75303

Un nombre important de redémarrages du moteur de routage dynamique Bird (bird pour IPv4 ou bird6 pour IPv6) provoquait un défaut sur le démon IKE, empêchant alors la négociation des tunnels VPN IPsec. Cette anomalie a été corrigée.

VPN IPsec - Logs

Référence support 69858 - 71797

Les chaînes de texte envoyées vers le service de gestion des logs du firewall, et qui dépassent la taille autorisée, sont désormais correctement tronquées et ne contiennent plus de caractères n'appartenant pas au jeu UTF-8. Cette anomalie provoquait un dysfonctionnement de la consultation des logs au travers de l'interface Web d'administration.

De plus :

  • La taille maximale d'une ligne de log est désormais de 2048 caractères,
  • La taille maximale d'un champ texte contenu dans une ligne de log est désormais de 256 caractères.

VPN IPsec - Interfaces virtuelles

Référence support 77032

Lors du déchiffrement de trafic IPv6 transitant dans des tunnels IPsec IPv4 au travers d'interfaces virtuelles, le firewall ne cherche plus à tort les routes de retour parmi les interfaces virtuelles IPv6. Ces paquets IPv6 sont donc désormais correctement échangés à chaque extrémité du tunnel.

VPN SSL Portail

Référence support 77062

Bien que le nombre maximal de serveurs accessibles via SSL VPN Portail soit limité, il était possible de déclarer des machines supplémentaires. Cela entraînait alors des redémarrages en boucle du moteur d'authentification du firewall. Il n'est désormais plus possible de créer de serveurs au delà de cette limite, qui dépend du modèle de firewall.
En savoir plus

Proxies

Références support 76535 - 75662 - 77210 - 78103

Un problème d'accès concurrentiel potentiel entre les files de traitement des proxies SSL et HTTP pouvait entraîner un arrêt inopiné du gestionnaire des proxies. Cette anomalie a été corrigée.

Proxy SSL

Référence support 77207

Une anomalie dans le mécanisme de cache des décisions SSL (déchiffrer, ne pas déchiffrer...) en présence de connexions simultanées avec des adresses IP destination identiques et des ports différents, pouvait provoquer une corruption de ce cache et aboutir à un blocage du proxy SSL. Cette anomalie a été corrigée.

Référence support 78044

Lorsqu’une tentative de connexion vers un serveur SSL non joignable aboutissait directement à l’émission d’un message d’erreur par le proxy SSL, cette connexion n’était pas correctement clôturée par le firewall. La multiplication de ces connexions considérées à tort comme actives aboutissait alors à un fort ralentissement des flux SSL légitimes. Cette anomalie a été corrigée.

Haute disponibilité - Agrégat de liens

Référence support 71002

La modification du poids d'un agrégat de liens dans une configuration HA (module Haute Disponibilité > champ Poids ou commande CLI / Serverd CONFIG HA WEIGHT UPDATE) ne fonctionnait pas et générait une erreur système. Cette anomalie a été corrigée.

Haute disponibilité - Filtrage et NAT - Objets temps

Références support 76822 - 73023

Afin de ne plus provoquer d'instabilités réseau dans le cadre de clusters en haute disponibilité, des optimisations ont été apportées dans la réévaluation des règles de filtrage lors du changement d'état d'un objet temps utilisé dans l'une ou plusieurs de ces règles.

Démon SLD

Références support 77168 - 72940

Le démon SLD pouvait redémarrer et déconnecter tous les utilisateurs lorsque deux d'entre eux étaient connectés en VPN SSL Portail et accédaient à la même ressource.

Références support 78166 - 73026

L'exécution du processus SLD pouvait entraîner une surconsommation des ressources mémoire. Cette anomalie a été corrigée.

Objets machine globaux inclus dans un objet routeur

Référence support 71974

Le renommage d'un objet machine global inclus dans un objet routeur est désormais correctement pris en compte au sein de cet objet routeur.

Connexion depuis Stormshield Management Center (SMC)

Référence support 76345

Lors d'une première connexion depuis SMC à l'interface Web d'administration d'un firewall en version 3.7 ou supérieure, la récupération de l'archive contenant l'intégralité des données de l'interface pouvait échouer, empêchant alors toute connexion au firewall depuis SMC. Cette anomalie a été corrigée.

Supervision des passerelles

Référence support 75745

Sur un firewall soumis à une forte charge et utilisant une configuration avec de nombreuses passerelles, le mécanisme de supervision des passerelles pouvait ne pas recevoir les réponses aux tests de disponibilité suffisamment rapidement. Dans ce cas, ce mécanisme réémettait les requêtes de disponibilité de manière continue, puis redémarrait sans émettre de notification (log ou événement système). Cette anomalie a été corrigée.

Références support 75745 - 74524

Lorsqu'un firewall a redémarré, le service de supervision des routeurs tient désormais correctement compte du dernier état connu de ces routeurs.

Référence support 75745

Des problèmes de redémarrage inopiné du mécanisme de supervision des passerelles ont été résolus.

Filtrage et NAT

Référence support 70125

Le firewall devenait inaccessible s'il était redémarré après la réactivation d'une politique de filtrage contenant une règle activée avec deux objets réseau "Groupe" vides en "Source" ou en "Destination".

Firewalls avec carte IX

Référence support 74758

Le correctif ci-dessous concerne les firewalls utilisant un module d'extension réseau 4x10 Gbps fibre pour SN710, SN910, SN2000, SN3000 et SN6000 (module également compatible avec les SN2100 et SN3100).

Après le démarrage du firewall, la négociation liée à la détection automatique de vitesse du média pouvait échouer et l'interface réseau était vue par le firewall comme déconnectée. Seule la déconnexion / reconnexion physique du média permettait de réactiver l'interface. Ce problème a été résolu et les valeurs disponibles pour les cartes réseau IX peuvent désormais être sélectionnées dans le module Réseau > Interfaces.

Réseau

Wi-Fi

Référence support 75238

La modification du mot de passe d'accès à un réseau Wi-Fi hébergé par le firewall est désormais correctement prise en compte lors de l'enregistrement de ce changement de configuration.

Routage par politique

Référence support 76999

Lors du changement d'un routeur directement au sein d'une règle de filtrage (PBR), les tables de connexions IPState (protocoles GRE, SCTP...) tiennent désormais compte du nouvel identifiant de routeur.

Gestion des entrées ARP

Référence support 78514

Les entrées permanentes de la table ARP créées à l'ajout d'un objet réseau "Machine" possédant une adresse MAC ne sont plus supprimées à tort après la réactivation d'une politique de filtrage.

Matériel

Firewalls modèle SN6000

Références support 75577 - 75579

Dans des cas rares, un message indiquant que des modules d'alimentation sont manquants peut être envoyé à tort sur un firewall modèle SN6000 équipé d'un module IPMI en version 3.54. Afin de pallier ce problème, un mécanisme de redémarrage du module IPMI a été mis en place.

Désactivé par défaut, ce mécanisme n'affecte pas le trafic traversant le firewall mais rend temporairement indisponible le rafraîchissement des informations des composants. Ce mécanisme nécessite un délai d'environ cinq minutes pour arriver à son terme, comprenant le temps de redémarrage du module IPMI ainsi que le temps nécessaire pour rafraîchir les informations des composants.

Ce nouveau paramètre est uniquement modifiable à l'aide de la commande CLI / SSH :

setconf /usr/Firewall/ConfigFiles/system Monitord EnableRestartIPMI <0|1>

Pour plus d'informations concernant la syntaxe de cette commande, veuillez vous référer au Guide de référence des commandes CLI / SSH.

Prévention d'intrusion

Protocole NTP

Référence support 74654

Afin d'améliorer la compatibilité avec certains éditeurs, la taille maximale des paquets NTP v3 considérés comme valides est désormais fixée à 120 octets par défaut.

Protocole NB-CIFS

Référence support 77166

L'analyse de flux NB-CIFS issus de machines Microsoft Windows ne remonte plus à tort l'alarme "Protocole NBSS / SMB2 invalide" (alarme nb-cifs:157).

Protocole DCERPC

Références support 70716 - 70590

Un risque de fuite mémoire et d'arrêt inopiné du firewall lors de l'analyse du protocole DCERPC a été corrigé.

Haute disponibilité

Référence support 70654

Lorsque le firewall actif recevait sur l'une de ses interfaces ne participant pas à la HA des paquets ayant pour adresse source une adresse IP utilisée pour le lien HA (tentative d'attaque par usurpation d'adresse IP), le cluster de firewalls devenait instable si :

  • Ces paquets étaient autorisés par une règle en mode Firewall ou IDS,
    - ou -
  • L'action de l'alarme "Usurpation d'adresse IP (type 2)" était forcée à "Passer".

Des mécanismes de protection supplémentaires ont été mis en place pour éviter cette situation.

Interface Web d'administration

Caractères spéciaux

Références support 68883 - 72034 - 72125 - 73404

Une anomalie dans la conversion en UTF-8 de caractères spéciaux (caractères asiatiques ou accentués par exemple) pouvait générer des erreurs XML et empêcher l'affichage des modules impactés (Filtrage, NAT, Utilisateurs, ...). Cette anomalie a été corrigée.

Supervision VPN SSL

Référence support 77426

Dans la supervision des tunnels VPN SSL, l'interface Web d'administration ne récupérait pas l'utilisateur associé à un tunnel dans les deux cas suivants :

  • Dans l'infobulle de la colonne "Utilisateur" au passage de la souris sur un tunnel,
  • Lors de la réalisation d'un export CSV des résultats s'affichant dans la grille.

Cette anomalie a été corrigée.