Correctifs de la version 3.7.0 LTSB

Matériel

Références support 70452 - 70242

Sur un firewall modèle SN2100 standard (proposé par défaut avec un seul disque, mais éligible à l'option RAID) ou sur les modèles ne proposant pas de RAID, les résultats des tests S.M.A.R.T laissaient apparaître un message d'alerte concernant l'absence du deuxième disque.

Il est donc recommandé de mettre à jour en version de firmware 3.7.0 les firewalls modèle SN2100 afin d'éviter l'affichage de ce message en cas de non souscription de l'option RAID.

Système

VPN IPSec - IKEv2 - Tunnels nomades

Référence support 69737

L'établissement d'un très grand nombre de tunnels IPSec IKEv2 nomades (environ 17000 tunnels) entraînait une désynchronisation entre les SAD (Security Association Database) et SPD (Security Policy Database), bloquant alors le trafic au travers de ces tunnels. Ce problème a été corrigé.

Stormshield Management Center

Référence support 68469

Lorsqu'un serveur SMC établit une connexion à l'interface Web d'administration d'un firewall dont la version de firmware est absente de la base SMC, le firewall génère une archive locale de cette interface d'administration pour la transmettre au serveur.

Sur les petits modèles de firewalls (SN150), cette archive pouvait saturer l'espace de stockage. Cette archive est désormais créée en mémoire avant d'être transmise au serveur.

Haute Disponibilité

Références support 69112 - 69141

Lors de la migration d'un cluster de firewalls d'une version SNS 2.X vers une version SNS 3.5.1 ou supérieure, le firewall devenu passif suite à sa mise à jour ne passait pas actif lors de la mise à jour de l'autre membre du cluster. Ce problème a été corrigé.

Objets routeur

Références support 68887 - 69418

Les tests de disponibilité d'une passerelle définie au sein d'un objet routeur généraient à tort une entrée dans les journaux d'audit (logs) lorsque cette passerelle passait d’un état interne « à priori non joignable » (un test de disponibilité échoué) à l’état interne « joignable ». Cette anomalie a été corrigée.

Réseau

Gestion des entrées ARP

Références support 69450 - 69312

Le service de création des entrées ARP (exemple : création d'une règle de NAT avec publication ARP) s'arrêtait complètement dès le premier échec de création d'une entrée. Cette anomalie a été corrigée.

Prévention d'intrusion

Protocole TLS

Référence support 68896

L'absence de certaines suites de chiffrements dans l'implémentation du protocole TLS 1.3 provoquait des alarmes "Niveau de chiffrement non autorisé". Cette anomalie a été corrigée.

Protocole ARP

Référence support 69239

Après le déplacement d'une machine sans modification de son adresse IP, d'une interface vers une autre au sein d'un même bridge, les paquets à destination de cette machine étaient toujours envoyés vers l'ancienne interface de connexion (pas de mise à jour de la table ARP). Cette anomalie a été corrigée.

Protocole TCP - Multipath

Référence support 69908

La réception de paquets TCP avec une option Multipath de taille nulle :

  • dans une règle en mode firewall,
  • dans une règle en mode IDS ou IPS avec l'action de l'alarme "Multipath TCP" forcée à Autoriser,

provoquait un blocage du firewall. Ce problème a été corrigé.

Interface Web d'administration

Règles inactives

Référence support 70084

Lorsqu'une règle de Filtrage ou de NAT était positionnée en inactive (Etat off), les valeurs des champs correspondant à cette ligne (Source, Destination,...) n'étaient plus grisées. Cette anomalie a été corrigée.