Correctifs de la version 3.8.0

Réseau

Interfaces

Référence support 69982

L'option de configuration avancée Préserver les identifiants de VLAN (pour une interface incluse dans un bridge), indiquant au firewall d'accepter les paquets tagués sur cette interface sans avoir déclaré explicitement les VLAN concernés, ne fonctionnait plus. Ce problème a été corrigé.

Routage dynamique - Objets Routeur

Références support 65524 - 69210 - 70135

Lorsque la passerelle par défaut d'un firewall consistait en un objet routeur avec répartition de charge, les routes dynamiques apprises par le moteur Bird n'étaient pas prises en compte. Ce problème a été corrigé.

Routage statique multicast

Référence support 70211

Une limitation dans la gestion de taille des files d'attente du routage statique multicast pouvait entraîner une perte de paquets multicast. La taille de ces files d'attente peut désormais être configurée à l'aide la commande :

CONFIG SMCROUTING UPDATE UpcallQueueLimit = <taille_file_attente>

Pour plus d'informations sur cette commande, veuillez vous référer au Guide de référence des commandes CLI / Serverd.

VLAN rattaché à un agrégat de liens

Références support 67337 - 65108

Lorsqu'un VLAN était rattaché à un agrégat de liens dans l'une des configurations suivantes :

  • Agrégat inactif (configuration pour n'accepter sur l'agrégat que le trafic portant le tag du VLAN enfant),
  • Agrégat avec une adresse MAC forcée sans que le VLAN ne soit en mode promiscuous.

Alors ce VLAN était inopérant. Ce problème a été corrigé.

Référence support 67698

Lorsqu'un VLAN rattaché à un agrégat de liens était déplacé vers un autre agrégat de liens, alors l'adresse MAC de ce VLAN devenait forcée à 00:00:00:00:00:00 et le VLAN était inopérant. Ce problème a été corrigé.

Qualité de service (QoS) - Interfaces GRE

Références support 67640 - 69253 - 69316

Les règles de QoS définies dans le module Politique de sécurité > Qualité de service n'étaient jamais appliquées aux flux transitant par des interfaces GRE. Ce problème a été corrigé.

Interfaces GRE

Référence support 71499

Il n'était pas possible d'établir des connexions TCP depuis ou à destination d'un firewall SNS au travers d'un tunnel GRE. Ce problème a été corrigé.

 

Système

Proxies

Référence support 69318

Un cas de corruption mémoire lors de l'utilisation du proxy SSL entraînait une interruption de l'accès Web. Ce problème a été corrigé.

Références support 66101 - 64504 - 69005 - 69328

Un problème d'accès concurrentiel à certaines ressources utilisées par le module OpenSSL pouvait entraîner un blocage du proxy. Ce problème a été corrigé.

VPN IPSec

Référence support 70910

Dans une configuration utilisant les interfaces virtuelles IPSec, un problème d'accès concurrentiel à certains paramètres de la Security Policy pouvait entraîner une interruption du trafic à l'intérieur de tunnels IPSec établis. Ce problème a été corrigé.

VPN IPSec (IKEv1 + IKEv2 ou IKEv2 seul)

Référence support 70250

Une anomalie dans la gestion des Security Associations (SA) lors de la perte de paquets au sein d'un tunnel pouvait entraîner une multiplication non justifiée des SA filles et une charge excessive du moteur de gestion des tunnels IPSec IKEv2 / IKEv1+IKEv2. Cette anomalie a été corrigée.

VPN IPSec - IKEv2

Référence support 70250

Afin d'éviter une multiplication de Security Associations (SA) filles inactives entraînant une charge excessive du moteur de gestion des tunnels IPSec IKEv2, la durée de vie maximale d’une SA n’émettant plus et ne recevant plus aucun trafic est configurable à l’aide de la commande (module Système > Console CLI) :

CONFIG IPSEC PEER NEW

Pour plus d'informations sur cette commande, veuillez-vous référer au Guide de référence des commandes CLI / Serverd.

Portail captif - Parrainage

Référence support 67894

Lorsque la méthode d'authentification par parrainage était configurée pour afficher une page d'avertissement (disclaimer), cette page n'était pas affichée à la demande de parrainage et le demandeur ne la voyait donc jamais. Cette anomalie a été corrigée et la page d'avertissement est affichée dès la demande de parrainage.

Référence support 70007

Une anomalie dans la gestion des demandes de parrainage pouvait provoquer à tort la détection d'une attaque par force brute et le bannissement du demandeur. Cette anomalie a été corrigée.

Portail captif - VPN SSL - Interface Web d'administration

Référence support 70568

La réception d'une requête non conforme pouvait aboutir au blocage du mécanisme de gestion du portail d'authentification, du VPN SSL et de l'interface Web d'administration. Ce problème a été corrigé.

Administration du firewall

Référence support 71741

En cas de perte du mot de passe administrateur d'un firewall, si lors de la procédure de récupération du mot de passe, les deux mots de passe saisis ne correspondaient pas, la configuration du firewall était effacée. Ce problème a été corrigé.

Enrôlement Web

Référence support 54754

L'enrôlement Web avec création de certificat n'était supporté que pour des utilisateurs connectés au portail d'authentification à l'aide d'un navigateur Mozilla Firefox. Cette anomalie a été corrigée et les navigateurs Microsoft Internet Explorer, Microsoft Edge et Google Chrome sont supportés.

Haute Disponibilité et VPN IPSec (IKEv1 + IKEv2 ou IKEv2 seul)

Référence support 68832

Lors de la reconstruction d'un cluster suite au remplacement physique du firewall passif, et lorsque la qualité du firewall actif était inférieure à celle du nouveau firewall passif, alors les tunnels IPSec déjà établis étaient renégociés. Ce problème a été corrigé.

Haute Disponibilité - Icône d'incident

Références support 70506 - 70880

Le mécanisme de supervision de la Haute Disponibilité (HA) prenant en compte l'état des liens vers les objets routeurs, un objet routeur injoignable provoquait à tort l'affichage de l'icône d'incident concernant les liens HA du cluster de firewalls. Cette anomalie a été corrigée.

 

Notifications - Alertes E-mail

Référence support 69100

Une anomalie dans l'encodage de l'e-mail de test de la configuration SMTP pouvait déclencher l'alarme "Fin de ligne incorrecte dans SMTP " (bloquante par défaut) si l'analyse du protocole SMTP était activée. Cette anomalie a été corrigée.

Stockage local

Référence support 68506 - 71005

Un firewall dont la carte SD (et donc la partition de stockage des logs) était endommagée pouvait redémarrer en boucle. Ce problème a été corrigé.

Vulnerability Manager

Références support 58546 - 66338 - 66736 - 68741 - 69083 - 70153 - 66482

Le module de gestion des vulnérabilités ne fonctionnait plus sur les firewalls modèles SN150, SN160(W), SN210(W) et SN310 et pouvait entraîner un blocage du firewall. Ce problème a été corrigé.

Modem USB over Ethernet

Référence support 65697

Lors du redémarrage d'un firewall modèle U30S ou SN200, la détection du modem USB over Ethernet prenait trop de temps et le modem ne se voyait pas assigner d'adresse IP. Il était alors nécessaire de relancer manuellement les services réseau du firewall (commande ennetwork). Cette anomalie a été corrigée.

Antispam

Référence support 69307

Un défaut de fonctionnement de la liste noire des noms de domaines pouvait provoquer à tort le classement en SPAM d'e-mails légitimes. Cette anomalie a été corrigée.

Filtrage et NAT

Références support 69146 - 69011

L'ajout ou la suppression d'une règle de filtrage inactive ou d'une règle comprenant un groupe vide devant une règle utilisant le proxy (filtrage d'URL, antivirus, sandboxing...) provoquait un décalage dans les identifiants de règles de filtrage. Ce décalage entraînait à son tour un dysfonctionnement de l'accès aux pages Web. Ce problème a été corrigé.

Stormshield Management Center

Depuis la version 3.6.1 de SNS, le firewall ne prenait plus en compte le fait qu'une interface réseau particulière ait été précisée pour la connexion au serveur SMC (paramètre BindAddr). Ce problème a été corrigé.

Filtrage URL - Stormshield Management Center

Dans une configuration utilisant la base de filtrage d'URL du Rectorat de Toulouse (voir l'article de la base de connaissances Stormshield), et lorsque l'administrateur était connecté au firewall via un serveur SMC, le bouton Ajouter toutes les catégories prédéfinies (module Politique de sécurité > Filtrage URL) renvoyait un message d'erreur HTTP. Cette anomalie a été corrigée.

Agent SSO - Groupes imbriqués

Références support 66905 - 66350 - 67257 - 69977

L'activation des groupes imbriqués (Utilisateurs > Configuration des annuaires > Configuration avancée) sur un annuaire Microsoft Active Directory associé à la méthode d'authentification Agent SSO entraînait une consommation mémoire excessive et pouvait empêcher la connexion à l'interface Web d'administration et au portail captif du firewall. Ce problème a été corrigé.

Ligne de commande

Référence support 68861

La commande système ennetwork -v exigeait un argument pour lequel aucune valeur par défaut n'était affectée, contrairement à ce qu'indiquait l'aide de la commande. Cette anomalie a été corrigée et la valeur DEBUG est affectée à cet argument lorsque aucune valeur n'est explicitement précisée.

SNMP

Référence support 70258

L'interrogation des OID correspondant aux interfaces réseau du firewall pouvait entraîner une consommation mémoire excessive de la part du serveur SNMP du firewall. Cette anomalie a été corrigée.

Annuaires LDAP

Référence support 69872

Lors de la configuration d'un annuaire Microsoft Active Directory avec accès sécurisé via SSL, un message d'erreur "Pas de configuration LDAP" était affiché à tort. La validation de ce message et le rafraîchissement de l'écran provoquaient la disparition de l'annuaire concerné de la liste des annuaires. Cette anomalie a été corrigée.

Alarmes sur les firewalls SN3000

Références support 71022 - 71051

Sur les firewalls SN3000, une alarme indiquant une panne d'alimentation pouvait s'afficher sur le tableau de bord alors que tout fonctionnait correctement. Cette anomalie a été corrigée.

Prévention d'intrusion

Protocole SIP

Référence support 68583

Les champs optionnels Record-Route et Route pouvant être ajoutés par un proxy SIP n'étaient pas pris en compte par le firewall. Les adresses et routes indiquées dans ces champs n'étaient donc pas translatées si nécessaire. Cette anomalie a été corrigée.

Référence support 66573

Certains téléphones SIP ne précisant pas le numéro de port réseau utilisé (champ Contact de la requête REGISTER), les requêtes REGISTER entrantes ainsi formées n'étaient pas correctement redirigées par le firewall. Cette anomalie a été corrigée.

Protocole SNMP

Référence support 68686

L'activation de l'analyse de prévention d'intrusion sur le protocole SNMP pouvait entraîner une consommation excessive des ressources processeur du firewall ainsi qu'un ralentissement de l'ensemble des flux réseau traversant ce firewall. Cette anomalie a été corrigée.

Protocole LDAP

Références support 71152 - 69806

L'analyse du protocole LDAP pouvait déclencher à tort l'alarme ldap_tcp:427 (Mauvais Protocole LDAP) et bloquer les connexions à l'annuaire LDAP cible. Cette anomalie a été corrigée.

 

Référence support 71192

Un problème dans l'analyse de paquets LDAP utilisant l'authentification via SASL (Simple Authentication and Security Layer) pouvait entraîner un blocage du firewall. Ce problème a été corrigé.

Restauration logicielle par clé USB

Référence support 68227

Firewalls modèle SN6000

La méthode de détection du disque interne utilisée dans le cadre d'une restauration par clé USB (USB Recovery) ne fonctionnait pas sur les firewalls modèle SN6000. Cette anomalie a été corrigée.

Interface Web d'administration

Référence support 69237

Un problème générant des lenteurs d'affichage de l'interface Web d'administration, et pouvant aboutir au blocage du moteur de gestion de ces pages d'administration, a été corrigé.

Utilisateurs

Référence support 68972

L'affichage des utilisateurs ou des groupes appartenant à des annuaires très volumineux (milliers d'objets) pouvait nécessiter plusieurs minutes ou parfois même ne pas aboutir. Ce problème a été corrigé.

Routage statique

Références support 65971 - 67347 - 70135

L'ajout d'une route statique en précisant en premier lieu le réseau de destination plutôt que l'interface, provoquait l'affichage d'un message d'erreur "Interface non trouvée". Ce problème a été corrigé.

Filtrage et NAT

Dans une configuration :

  • Utilisant plusieurs séparateurs de règles,
  • Avec un séparateur placé en première position de la politique de filtrage ou de NAT.

Lorsque tous les séparateurs étaient repliés, la suppression du séparateur placé en première position n'entraînait pas la suppression des règles de filtrage ou NAT situées sous ce séparateur. Cette anomalie a été corrigée.

Droits d'administration

Référence support 68691

Un utilisateur avec les droits d'administration ne pouvait pas modifier certains paramètres comme la configuration DNS ou NTP. Cette anomalie a été corrigée.

Administrateurs

Références support 68888 - 70656

Un compte administrateur dont le nom comportait des caractères spéciaux, comme des majuscules, n'apparaissait pas dans la liste des administrateurs une fois ajouté. Ce problème a été corrigé.

Comptes temporaires

Le bouton d'export de la liste des comptes temporaires ne fonctionnait pas avec le navigateur Microsoft Edge. Ce problème a été corrigé.

Logs - Journaux d'audit

Le bouton d'export du contenu des Logs - Journaux d'Audit ne fonctionnait pas avec le navigateur Microsoft Edge et provoquait une déconnexion de l'interface d'administration. Ce problème a été corrigé.

Le Hash des paquets réseau capturés (configuration possible via les options avancées d'une alarme) n'était pas anonymisé lorsque l'administrateur disposait uniquement du droit d'accès restreint aux logs. Cette anomalie a été corrigée.

Objets réseau

Références support 67681 - 68079

Après avoir appliqué le filtre Machine ou le filtre Réseau, le tri sur la colonne IPv4 ou IPv6 des objets affichés était erroné (tri sur les caractères composant l'adresse IP et non tri numérique). Cette anomalie a été corrigée.

Portail captif

Référence support 68872

Dans le module Utilisateurs > Authentification > onglet Portail Captif > Configuration avancée, bien qu'un objet réseau ait été sélectionné pour le champ Port du portail captif , ce champ affichait une valeur numérique et était signalé à tort en anomalie. Ce problème a été corrigé.

Machines virtuelles

Partition de logs

Références support 61281 - 69313

Sur les plate-formes de virtualisation ou d'hébergement basées sur Openstack (Xen Server, KVM, Cloudwatt,...), la partition de logs du firewall virtuel pouvait ne pas être détectée et le menu Logs - Journaux d'audit était alors masqué. Ce problème a été corrigé.

Xen Server - Fonction "Live migrate"

Référence support 60867

L'utilisation de la fonction Live migrate, permettant de transférer à chaud un firewall virtuel d'un serveur Xen vers un autre, provoquait une erreur système et entraînait un redémarrage du firewall.