IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.7.18 LTSB
Système
Proxies
Références support 78432 - 78929 - 79581 - 80095
Des problèmes de fuites mémoire dans les proxies, pouvant aboutir à un redémarrage inopiné du service, ont été corrigés.
Référence support 79584
Un problème lié à la gestion du contexte SSL et qui entraînait un blocage du service proxy a été corrigé.
Références support 79957 - 80108
Dans une configuration utilisant de l'authentification multi-utilisateurs, le chargement complet d'une page Web intégrant une directive CSP (content-security-policy) pouvait nécessiter plusieurs minutes. Cette anomalie a été corrigée.
Agent SSO
Références support 79581 - 80095
L'exécution du module gérant la communication avec l'Agent SSO pouvait entraîner une surconsommation des ressources mémoire. Cette anomalie a été corrigée.
Agent SNMP
Référence support 74514
Des anomalies dans l'indexation des tables reflétant l'état matériel des membres du cluster dans la MIB HA ont été corrigées. En effet, les OIDs retournés n'étaient pas en accord avec la MIB associée, empêchant l'utilisation des requêtes snmpget pour atteindre ces OIDs. Ces requêtes fonctionnent maintenant correctement.
Références support 77226 - 78235
L'OID "SNMPv2-MIB::sysObjectID.0", permettant d'identifier la nature de l'équipement interrogé, présentait la valeur par défaut liée à net-snmp au lieu de présenter la valeur propre à Stormshield. Cette anomalie a été corrigée.
Références support 77779 - 80036
Des problèmes de consommation mémoire excessive aboutissant à un arrêt inopiné du service Agent SNMP ont été corrigés.
Filtrage et NAT
Références support 79533 - 79636 - 80043 - 80412
Lors de l'activation ou désactivation d'un objet temps, la réévaluation des connexions correspondant à la règle de filtrage contenant cet objet temps ne provoque plus un redémarrage inopiné du firewall.
Objets réseau
Référence support 77385
Lors de la création d'un objet réseau global lié à une interface protégée, cet objet est désormais correctement intégré au groupe Networks_internals.
Référence support 76167
Lors de la restauration d'objets réseau (locaux ou globaux) à l'aide d'un fichier de sauvegarde (fichier portant l'extension ".na"), un rechargement des routes réseau du firewall est effectué afin de prendre en compte les modifications qui concerneraient des objets réseau impliqués dans le routage.
Haute disponibilité (HA)
Les erreurs survenant lors de la mise à jour du membre passif d'un cluster sont désormais correctement remontées au travers de la haute disponibilité.
Référence support 70003
La validité de licence de l'option Management de vulnérabilités est désormais vérifiée avant d'exécuter une synchronisation de configuration afin de ne plus générer inutilement dans les logs des messages d'erreur du type "Target: all From: SNXXXXXXXXXXXXX Command: SYNC FILES failed: Command failed : Command has failed : code 1".
Supervision du matériel
Référence support 77170
Sur les firewalls modèles SN2100, SN3100 et SN6100, des optimisations ont été apportées au mécanisme de supervision de la vitesse de rotation des ventilateurs afin de ne plus remonter à tort d'alarmes mettant en cause le bon fonctionnement de ceux-ci.
Réseau
Routage dynamique - Objets Routeur
Référence support 69210
Lorsque la passerelle par défaut d'un firewall consistait en un objet routeur avec répartition de charge, les routes dynamiques apprises par le moteur Bird n'étaient pas prises en compte. Cette anomalie a été corrigée.
Prévention d'intrusion
Mise en quarantaine sur alarme du nombre de connexions
Référence support 75097
Lorsque l'action de mise en quarantaine est paramétrée pour l'alarme "Nombre de connexions par machine source autorisées atteint" (alarme tcpudp:364), la machine déclenchant cette alarme est désormais correctement ajoutée à la liste noire pour la durée de mise en quarantaine paramétrée.
Protocole DCERPC
Référence support 77417
Le moteur d'analyse du protocole DCERPC pouvait créer à tort plusieurs centaines de squelettes de connexions, entraînant alors une consommation CPU excessive du firewall.
Ce problème, qui pouvait notamment empêcher le firewall de répondre aux requêtes de suivi d'état de la haute disponibilité (HA) et provoquer une instabilité du cluster, a été corrigé.