IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.7.2 LTSB
Réseau
Interfaces
Référence support 69982
L'option de configuration avancée Préserver les identifiants de VLAN (pour une interface incluse dans un bridge), indiquant au firewall d'accepter les paquets tagués sur cette interface sans avoir déclaré explicitement les VLAN concernés, ne fonctionnait plus sur les modèles SN 510, 710, 910, 2000, 2100, 3000, 3100, 6000, 6100 et SNi40. Ce problème a été corrigé.
Système
Haute Disponibilité - Icône d'incident
Références support 70506 - 70880 - 70707
Le mécanisme de supervision de la Haute Disponibilité (HA) prenant en compte l'état des liens vers les objets routeurs, un objet routeur injoignable provoquait à tort l'affichage de l'icône d'incident concernant les liens HA du cluster de firewalls. Cette anomalie a été corrigée.
VPN IPsec
Référence support 70910
Dans une configuration utilisant les interfaces virtuelles IPsec, un problème d'accès concurrentiel à certains paramètres de la Security Policy pouvait entraîner une interruption du trafic à l'intérieur de tunnels IPsec établis. Ce problème a été corrigé.
Proxies
Référence support 69318
Un cas de corruption mémoire lors de l'utilisation du proxy SSL entraînait une interruption de l'accès Web. Ce problème a été corrigé.
Références support 66101 - 64504 - 69005 - 69328
Un problème d'accès concurrentiel à certaines ressources utilisées par le module OpenSSL pouvait entraîner un blocage du proxy. Ce problème a été corrigé.
Filtrage et NAT
Références support 69146 - 69011
L'ajout ou la suppression d'une règle de filtrage inactive ou d'une règle comprenant un groupe vide devant une règle utilisant le proxy (filtrage d'URL, antivirus, sandboxing...) provoquait un décalage dans les identifiants de règles de filtrage. Ce décalage entraînait à son tour un dysfonctionnement de l'accès aux pages Web. Ce problème a été corrigé.
Annuaires LDAP
Référence support 69872
Lors de la configuration d'un annuaire Microsoft Active Directory avec accès sécurisé via SSL, un message d'erreur "Pas de configuration LDAP" était affiché à tort. La validation de ce message et le rafraîchissement de l'écran provoquaient la disparition de l'annuaire concerné de la liste des annuaires. Cette anomalie a été corrigée.
Stockage local
Références support 68506 - 71005
Un firewall dont la carte SD (et donc la partition de stockage des logs) était endommagée pouvait redémarrer en boucle. Ce problème a été corrigé.
Administration du firewall
Référence support 71741
En cas de perte du mot de passe administrateur d'un firewall, si lors de la procédure de récupération du mot de passe, les deux mots de passe saisis ne correspondaient pas, la configuration du firewall était effacée. Ce problème a été corrigé.
Alarmes sur les firewalls SN3000
Références support 71022 - 71051
Sur les firewalls SN3000, une alarme indiquant une panne d'alimentation pouvait s'afficher sur le tableau de bord alors que tout fonctionnait correctement. Cette anomalie a été corrigée.
VPN IPsec (IKEv1 + IKEv2 ou IKEv2 seul)
Référence support 70250
Une anomalie dans la gestion des Security Associations (SA) lors de la perte de paquets au sein d'un tunnel pouvait entraîner une multiplication non justifiée des SA filles et une charge excessive du moteur de gestion des tunnels IPsec IKEv2 / IKEv1+IKEv2. Cette anomalie a été corrigée.
Prévention d'intrusion
Protocole LDAP
Références support 71152 - 69806
L'analyse du protocole LDAP pouvait déclencher à tort l'alarme ldap_tcp:427 (Mauvais Protocole LDAP) et bloquer les connexions à l'annuaire LDAP cible. Cette anomalie a été corrigée.
Référence support 71192
Un problème dans l'analyse de paquets LDAP utilisant l'authentification via SASL (Simple Authentication and Security Layer) pouvait entraîner un blocage du firewall. Ce problème a été corrigé.
Stormshield Management Center
Communication entre SNS et SMC
Depuis la version 3.6.1 de SNS, le firewall ne prenait plus en compte le fait qu'une interface réseau particulière ait été précisée pour la connexion au serveur SMC (paramètre BindAddr). Ce problème a été corrigé.
Mise à jour des firewalls SNS depuis SMC
Depuis la version 3.6 de SNS, la mise à jour des firewalls depuis SMC ne fonctionnait pas, qu'elle ait été exécutée via une commande CLI SNS ou en accédant directement au firewall depuis SMC. Le fichier de mise à jour n'était pas téléchargé sur le firewall. Ce problème a été corrigé.