IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.7.15 LTSB
IMPORTANT
Dans certaines conditions, le proxy peut être impacté par une fuite mémoire, aboutissant à un redémarrage inopiné du service. Si vous pensez être impacté par ce problème, veuillez vous rapprocher du support Stormshield.
Système
Proxies
Référence support 78432
Des problèmes de fuites mémoire dans les proxies, pouvant aboutir à un redémarrage inopiné du service, ont été corrigés.
VPN SSL
Référence support 76762
Le champ Réseaux ou machines accessibles était utilisé à tort dans le calcul du nombre de clients VPN SSL possibles, faussant ainsi le calcul. Ce comportement a été corrigé.
Références support 73353 - 77976
Le client VPN SSL applique désormais le délai avant renégociation des clés défini sur le serveur VPN SSL, par défaut de 14400 secondes (4 heures). Les utilisateurs ne bénéficiant pas du client Stormshield Network VPN SSL doivent récupérer un nouveau ficher de configuration sur le portail d’authentification du firewall pour que le nouveau comportement s’applique.
En savoir plus
VPN SSL en mode portail
Référence support 68759
Le VPN SSL en mode portail utilise désormais un composant qui est compatible avec :
- Java 8 JRE,
- ou - - OpenWebStart.
Ceci permet de pallier à la suspension prévue des versions publiques de Java JRE 8 dans un avenir proche.
VPN IPsec IKEv2 ou IKEv1 + IKEv2
Référence support 77722
La présence d'une même Autorité de Certification de confiance avec CRL à la fois dans la politique IPsec locale et la politique IPsec globale ne provoque plus un échec de l'activation de la configuration IPsec du firewall.
Supervision des passerelles
Références support 71502 - 74524
Lors du démarrage du mécanisme de supervision des passerelles, si l'une des passerelles utilisées dans les règles de filtrage passait d'un état interne « à priori non joignable » (un test de disponibilité échoué) à l’état interne « joignable », cette passerelle restait néanmoins désactivée pour le filtrage. Cette anomalie a été corrigée.
Un événement est également désormais enregistré dans les logs lors de ce changement d'état de la passerelle.
Référence support 76802
Dans certaines configurations, le processus faisant appel au moteur de supervision des passerelles pouvait consommer une quantité excessive de ressources CPU du firewall. Cette anomalie a été corrigée.
Haute disponibilité (HA)
Références support 78758 - 75581
Des problèmes de fuites mémoire notamment dans le mécanisme chargé de la gestion de l'état de la HA ou des changements de rôles au sein d'un cluster ont été corrigés.
Haute disponibilité (HA) - Agrégat de liens
Dans une configuration en HA, le mécanisme de basculement d'un nœud actif en état passif a été amélioré afin de ne plus renégocier les liens des agrégats (LACP) lorsque :
- L'option Redémarrer toutes les interfaces pendant le basculement (à l'exception des interfaces HA) est active (module Configuration > Système > Haute disponibilité, zone Configuration avancée, cadre Configuration du basculement),
- et - - Le paramètre LacpWhenPassive est actif avec une valeur à "1" ( fichier /usr/Firewall/ConfigFiles/HA/highavailability Global LACPWhenPassive <0|1>).
Référence support 76748
Dans une configuration en HA, le basculement d'un nœud actif en état passif ne désactive plus à tort une interface VLAN lorsque celle-ci est contenue dans un agrégat de liens (LACP).
Haute disponibilité (HA) - VPN IPsec IKEv2 ou IKEv1 + IKEv2
Références support 68832 - 71456
Lors de la reconstruction d'un cluster suite au remplacement physique du firewall passif, et lorsque la qualité du firewall actif était inférieure à celle du nouveau firewall passif, alors les tunnels IPsec déjà établis étaient renégociés. Cette anomalie a été corrigée.
Sauvegardes automatiques
Référence support 75051
Le mécanisme de vérification des certificats des serveurs de sauvegardes automatiques a été modifié suite à l'expiration du certificat précédent.
Proxy SMTP
Référence support 77207
Dans une configuration utilisant le proxy SMTP dans une règle de filtrage SMTP :
- En mode d'inspection de sécurité "Firewall",
- ou - - En mode d'inspection de sécurité "IDS" ou "IPS" mais sans analyse protocolaire SMTP (module Protection applicative > Protocoles > SMTP > onglet IPS : case Détecter et inspecter automatiquement le protocole décochée),
une coupure de connexion à l'initiative du serveur SMTP précédée d'un message serveur SMTP/421 provoquait un blocage du proxy SMTP. Cette anomalie a été corrigée.
Référence support 75301
Un firewall dont la carte SD (et donc la partition de stockage des logs) était endommagée pouvait redémarrer en boucle. Cette anomalie a été corrigée.
Configuration des annuaires
Référence support 76576
Le port utilisé par défaut pour accéder au serveur LDAP de secours est désormais identique au port utilisé par le serveur LDAP principal.
Réseau
Interfaces
Références support 73236 - 73504
Sur les modèles de firewalls SN2100, SN3100, SN6100 et SNi40, un risque de perte de paquets pouvait survenir lorsqu'un câble était relié sur :
- L'un des ports de management (MGMT) des firewalls modèles SN2100, SN3100, SN6100,
- ou - - L'une des interfaces d'un firewall modèle SNi40.
Cette anomalie a été corrigée par la mise à jour du pilote de ces interfaces.
Prévention d'intrusion
Protocole DNS
Référence support 71552
La gestion des requêtes de mise à jour d'enregistrements DNS a été améliorée pour se conformer à la RFC 2136 et pour ne plus déclencher à tort l'alarme bloquante "Protocole DNS invalide" (alarme dns:88).
Protocole RTSP
Référence support 73084
Lorsqu'une requête RTSP utilisant un mode de transport RTP/AVP/UDP traverse le firewall, le moteur d'analyse RTSP ne supprime plus le champ Transport et les canaux de diffusion s'établissent correctement.
Noms d’utilisateurs
Référence support 74102
L'enregistrement d'un nom d'utilisateur dans les tables du moteur de prévention d'intrusion n'est désormais plus sensible à la casse. Ceci permet d'assurer la correspondance des noms avec les règles de filtrage basées sur des noms d'utilisateurs authentifiés.
Commande sfctl
Référence support 78769
L'utilisation de la commande sfctl avec un filtre sur une adresse MAC ne provoque plus un redémarrage inopiné du firewall.
Protocole OPC UA
Référence support 72255
Une anomalie dans l'analyse du protocole industriel OPC UA (valeur du champ SecureChannel dans un paquet OPN) pouvait déclencher à tort l'alarme bloquante "OPCUA: protocole invalide". Cette anomalie a été corrigée.