IMPORTANT
Les versions SNS 3.x ne sont plus maintenues depuis le 1er juillet 2024.
Nous vous recommandons de mettre à jour vos firewalls SNS vers une version maintenue afin d’assurer la protection de votre infrastructure.
Correctifs de SNS 3.7.20 LTSB
Système
Proxies
Référence support 75970
Lorsque le proxy doit envoyer une page de blocage, l'absence d'en-tête Content-Length dans la réponse (requête de type HTTP HEAD) n’entraîne plus à tort une alarme "Données additionnelles en fin de réponse" (alarme http:150).
Référence support 81624
Dans une configuration utilisant de l'authentification multi-utilisateurs, la gestion des directives CSP (content-security-policy) de type "img-src https://*" provoquait un redémarrage inopiné du service proxy. Ce problème a été corrigé.
VPN IPsec
Références support 79713 - 81464
Une perte de quelques paquets pouvait survenir lors du renouvellement des clés d'un tunnel IPsec. Ce problème a été corrigé.
VPN IPsec IKEv2 ou IKEv1 + IKEv2
Référence support 77097
Des optimisations ont été apportées dans la gestion du processus d’authentification pour l’établissement d’un tunnel VPN IPsec dans une configuration où plusieurs annuaires LDAP sont déclarés et que le temps de réponse d’un ou plusieurs de ces annuaires LDAP est anormalement élevé.
Ces optimisations permettent désormais de ne plus bloquer les tentatives d'établissement d’autres tunnels pendant cette phase d’attente.
Proxy SSL
Référence support 77207
Un redémarrage inopiné du proxy SSL pouvait intervenir lorsque toutes les conditions suivantes étaient réunies :
- Une politique de filtrage SSL appliquant une action "Passer sans déchiffrer" lorsqu'un CN n'a pas pu être classifié dans une catégorie,
-
Une première connexion correspond à cette règle (action "Passer sans déchiffrer") car la classification du CN échoue,
- Une connexion simultanée au même site voit sa classification aboutir sur une action "Bloquer sans déchiffrer".
Ce problème a été corrigé.
Authentification Radius
Référence support 76824
Dans une configuration d'authentification par serveur Radius avec clé pré-partagée, la sélection d'un autre objet machine dans le champ Serveur puis la sauvegarde de cette seule modification n’entraînent plus la suppression de la clé pré-partagée initialement renseignée.
Stockage local
Référence support 75301
Un firewall dont la carte SD (et donc la partition de stockage des logs) était endommagée pouvait redémarrer en boucle. Contrairement à ce qui a été annoncé dans les notes de version 3.7.15 LTSB, cette anomalie est à présent corrigée en version 3.7.20 LTSB.
Service de réputation des IP et de géolocalisation
Référence support 77980
Une anomalie liée au service de réputation des IP et de géolocalisation pouvait provoquer une corruption de mémoire aboutissant à un redémarrage inopiné du firewall. Ce problème a été corrigé.
Prévention d'intrusion
Compteur de connexions
Référence support 74110
Des optimisations ont été apportées au mécanisme de comptage des connexions simultanées afin de ne plus déclencher à tort l'alarme "Nombre de connexions par machine source autorisées atteint" (alarme tcpudp:364).
Protocole SMB - CIFS
Références support 77484 - 77166
Des anomalies dans l'analyse protocolaire SMB - CIFS pouvaient provoquer à tort l'alarme bloquante "Protocole NBSS/SMB invalide" (alarme nb-cifs:158) lors d'un accès légitime à une ressource disque partagée Microsoft Windows. Ce problème a été corrigé.
Interface Web d'administration
Annuaires LDAP
Référence support 69589
L'accès à un annuaire LDAP externe hébergé sur un autre firewall Stormshield par le biais d'une connexion sécurisée (SSL) et en ayant coché la case Vérifier le certificat selon une Autorité de certification fonctionne désormais correctement.
Protocole Modbus
Référence support 71166
Le firewall ne tenait pas comptes des informations saisies dans la grille UNIT ID autorisés (Protection Applicative > Protocoles > Protocoles industriels > Modbus > Paramètres généraux). Ces informations n'étaient également plus présentées dans la grille après avoir quitté le module. Ce problème a été corrigé.
Réseau
Routage multicast - Translation d'adresse
Référence support 80359
Les paquets d'un trafic réseau multicast ne sont plus dupliqués si le routage multicast est appliqué après une règle de NAT destination appliquée à ce trafic.