Correctifs de la version 3.9.0

Prévention d'intrusion

Haute Disponibilité

Référence support 70654

Dans une configuration telle que :

  • le firewall actif recevait sur l'une de ses interface ne participant pas à la HA des paquets ayant pour adresse source une adresse IP utilisée pour le lien HA (tentative d'attaque par usurpation d'adresse IP),
  • Ces paquets étaient autorisés par une règle en mode Firewall ou IDS,
    ou
    l'action de l'alarme "Usurpation d'adresse IP (type 2)" était forcée à "passer",

alors le cluster de firewalls devenait instable.

Des mécanismes de protection supplémentaires ont été mis en place pour éviter cette situation.

Protocole DNS

Références support 71390 - 71391

Sur un firewall utilisant uniquement IPv4, le moteur d'analyse du protocole DNS ajoutait inutilement des adresses IPv6 dans la table des hôtes. Ceci pouvait entraîner la saturation de cette table sur les petits modèles de firewalls. Ce problème a été corrigé.

Protocole OPC UA

Référence support 72255

Une anomalie dans l'analyse du protocole industriel OPC UA (valeur du champ SecureChannel dans un paquet OPN) pouvait déclencher à tort l'alarme bloquante "OPCUA: protocole invalide". Cette anomalie a été corrigée.

Protocole SIP

Références support 71980 - 68971

L'établissement de certaines communications SIP (notamment les transferts d'appel) échouaient du fait de l'envoi par le client d'un paquet INVITE contenant une information de type "c=IN IP4 0.0.0.0" rejetée par le firewall (alarme bloquante "Protocole SIP invalide (SDP)"). Ce problème a été corrigé.

Protocole TNS - Oracle

Références support 72518 - 71272

L'analyse d'une communication client-serveur TNS - Oracle soumise à de la fragmentation de paquets et à de la translation d'adresse (NAT) engendrait une désynchronisation du flux du fait de la réécriture des paquets. Ce problème a été corrigé.

Protocole DCERPC

Références support 70716

Un risque de fuite mémoire lors de l'analyse du protocole DCERPC a été corrigé.

Protocole IKE

Le moteur d'analyse du protocole SNMP pouvait bloquer à tort certains paquets IKE valides lorsque des paquets SNMP transitaient sur le port UDP 500. Ce problème a été corrigé.

Système

Commandes CLI

Référence support 72020

Les fichiers temporaires créés lors de la mise à jour d'une PKI via la commande CLI PKI IMPORT n'étaient pas supprimés. Cette anomalie a été corrigée.

VPN IPSec

Référence support 71401

Une configuration IPSec utilisant le protocole de chiffrement AES256-CBC, et dans laquelle les extrémités de trafic échangeaient plusieurs flux réseau distincts, pouvait aboutir à une corruption du trafic lors de la phase de chiffrement des flux. Ce problème a été corrigé.

VPN IPSec (IKEv1 + IKEv2)

Référence support 72290

Sur un firewall regroupant des correspondants IKEv1 et IKEv2, les groupes d'un utilisateur établissant un tunnel nomade IKEv1 avec authentification via certificat et XAUTH n'étaient pas pris en compte. Cette anomalie a été corrigée.

Haute Disponibilité - SNMP

Référence support 71474

Sur un firewall pour lequel l'agent SNMP n'avait jamais été activé, le mécanisme de synchronisation de configuration de la HA cherchait à tort à synchroniser l'identifiant système de cet agent SNMP. Cette anomalie a été corrigée.

Haute Disponibilité - Agrégat de liens

Références support 65863 - 71002

La modification du poids d'un agrégat de liens dans une configuration HA (module Haute Disponibilité > champ Poids ou commande CLI CONFIG HA WEIGHT UPDATE) ne fonctionnait pas et générait une erreur système. Ce problème a été corrigé.

Haute Disponibilité - SN6000 / SN6100

Référence support 72924

Sur un cluster soumis à un nombre élevé de connexions (plusieurs dizaines de milliers) concernant plusieurs milliers de machines protégées, la bascule HA pouvait entraîner des pertes de connexions. Ce problème a été résolu grâce à l'utilisation de l'ensemble des processeurs pour la restauration des connexions, machines et utilisateurs actifs.

Authentification - Agent SSO

Référence support 71101

L'utilisation de la méthode d'authentification Agent SSO pouvait entraîner à tort l'enregistrement de certains utilisateurs en tant qu'administrateurs. Cette anomalie a été corrigée.

Qualité de service

Référence support 71136

L'absence de définition d'une bande passante de référence (module Politique de Sécurité > Qualité de service > Bande passante maximale par interface > champ Bande passante totale) pouvait entraîner une charge CPU excessive sur les firewalls modèles SN160(W), SN210(W) et SN310. Une valeur adaptée au modèle de firewall est désormais définie par défaut.

Objets routeur

Référence support 71502

Une anomalie dans le mécanisme de supervision des passerelles survenant lorsque une passerelle passait d'un état interne « à priori non joignable » (un test de disponibilité échoué) à l’état interne « joignable » a été corrigée.

Objets de type FQDN

Référence support 69784

Le nombre d'adresses IP enregistrées pour un objet de type FQDN était anormalement limité à 32 entrées. Ce problème a été corrigé.

VPN SSL

Références support 66481 - 69424

Une anomalie dans la gestion du compteur d'utilisateurs connectés via VPN SSL pouvait aboutir à tort à la limite de connexions autorisées. Il était alors impossible d'établir de nouveaux tunnels légitimes. Cette anomalie a été corrigée.

Filtrage et NAT

Référence support 71283

Le message d'erreur explicite suivant est désormais affiché lors du rechargement d'une politique de Filtrage et NAT contenant un groupe de ports vide : "Le groupe de ports Group_Name utilisé dans cette règle est vide".

SN2100 et SN3100 - Interfaces 1 Gigabit/s

Référence support 71672

La présence d'interfaces réseau 1 Gigabit/s non connectées provoquait une consommation excessive de ressources CPU sur les firewalls modèles SN2100 et SN3100. Ce problème a été corrigé par la mise à jour du pilote de ces interfaces.

VPN IPSec

Référence support 71858

Dans une configuration IPSec où l'une des extrémités de tunnel proposait les algorithmes de chiffrement de phase 2 AES et AES_GCM_16, et l'autre extrémité le seul algorithme AES_GCM_16, alors le tunnel ne pouvait pas être négocié. Ce problème a été corrigé.

Portail Captif - Conditions d'utilisation de l'accès à Internet

Référence support 69176

L'acceptation des conditions d'utilisation de l'accès à Internet présentées par le portail captif (méthodes d'authentification de type invité) ne fonctionnait pas sur les équipements mobiles utilisant le système d'exploitation iOS. Ce problème a été corrigé.

SNMP

Référence support 72116

Les informations de bande passante concernant les interfaces 10 Gigabit/s n'étaient pas correctement retournées dans les OID ifSpeed et ifHighSpeed. Cette anomalie a été corrigée.

Référence support 71972

L'objet snsUptime étant dupliqué dans les MIBs Stormshield-SYSTEM-MONITOR et Stormshield-HA, une requête vers cet objet ne retournait aucun résultat. Cet objet a été renommé en snsHA Uptime dans la MIB Stormshield-HA afin de corriger cette anomalie.

Référence support 71886

Les plages de valeurs définies pour les objets snsNodeIndex et snsIfIndex de la MIB Stormshield-HA étaient erronées. Ces anomalies ont été corrigées.

Référence support 69010

La syntaxe erronée de l'objet snsQosEntryIndex (MIB Stormshield-QOS) empêchait certains outils de supervision d'interroger correctement cette MIB. Cette anomalie a été corrigée.

Proxy SSL

Référence support 72663

Le proxy SSL considérait à tort certains certificats comme étant invalides et bloquait l'accès aux sites correspondants. Ce problème a été corrigé.

Interfaces GRETAP

Référence support 69981

Dans une configuration mettant en œuvre un tunnel GRETAP respectant les conditions suivantes :

  • L’une des extrémités du tunnel est un firewall modèle SN310,
  • Un VLAN est attaché aux interfaces GRETAP portant le tunnel,
  • L’interface GRETAP est membre d’un bridge,
  • L’option Préserver les identifiants de VLAN est activée sur toutes les interfaces appartenant à ce bridge.

Alors, sur le firewall modèle SN310, le trafic en sortie de l’interface physique était corrompu (paquet de contrôle nul) et rejeté par le firewall distant.

Sauvegardes automatiques

Référence support 72131

Lors d'une sauvegarde automatique vers un serveur personnalisé, si la réponse du serveur contenait le code retour HTTP 204 (No Content), cette réponse était interprétée à tort comme une erreur et générait l'événement système 87 "Sauvegarde échouée". Le fichier de sauvegarde était néanmoins bien déposé sur le serveur. Cette erreur d'interprétation du code retour HTTP 204 a été corrigée.

Machines virtuelles

Suite à la remise en configuration d'usine (defaultconfig) d'une machine virtuelle EVA, la première connexion à l'interface web d'administration de cette machine aboutissait à un échec du chargement de la configuration du firewall. Ce problème a été corrigé.

Logs IPSec (IKEv2 seul ou IKEv1 + IKEv2)

Référence support 73155

Certaines entrées de logs IPSec (fichier l_vpn) ne contenaient pas les champs source (src) et destination (dst). Cette anomalie a été corrigée.

Réseau

VLAN rattaché à une interface GRETAP

Référence support 72961

Un VLAN rattaché à une interface GRETAP voyait son MTU positionné sur une valeur erronée après un redémarrage du firewall. Ce problème a été corrigé.

Interface Web d'administration

Logs - Journaux

Référence support 71615

La sélection d'une ligne de logs ne permettait plus de copier cette ligne dans le presse-papier. Cette anomalie a été corrigée.

Logs - Journaux - Géolocalisation

Lors du survol du drapeau d'un pays source ou destination, l'info-bulle pouvait afficher le nom du pays ou le code pays selon le log sélectionné. L'info-bulle affiche désormais les deux informations sous la forme Nom du Pays (code pays). Notez que c'est le code pays qui doit être utilisé pour les fonctions de filtrage / recherche.

Notifications

Référence support 59495

La valeur du champ précisant l'interface sur laquelle une alarme avait été déclenchée était erronée dans le rapport HTML envoyé par e-mail. Cette anomalie a été corrigée.

Supervision - Tunnels VPN SSL

Référence support 72046

La déconnexion d'un utilisateur via le menu contextuel (clic droit) ne fonctionnait pas et générait un message d'erreur système. Cette anomalie a été corrigée.

Référence support 72048

La recherche dans les logs d'un utilisateur connecté via VPN SSL n'aboutissait pas. Ce problème a été corrigé.

Événements système

Référence support 71337

Lors du glisser / déposer vers la zone de filtrage ou la zone de recherche d'une ligne contenant des caractères spéciaux, ces caractères spéciaux étaient encodés et le filtre était faussé. Cette anomalie a été corrigée.

Stormshield Network Real-Time Monitor

Référence support 72564

La connexion de SN Real-Time Monitor à un firewall disposant de listes blanches / listes noires provoquait la fermeture immédiate du logiciel de supervision. Ce problème a été corrigé.