Correctifs de la version 3.1.0

Système

 

Authentification

Référence support 52192

Une tentative de connexion à l'interface Web d'administration via le navigateur Google Chrome et la méthode SSL (certificat) ou la méthode SPNEGO n'aboutissait pas et provoquait une alarme d'attaque par force brute. Ce problème a été corrigé.

Référence support 56711

Lors de la configuration de la méthode "Parrainage", le champ Expiration du 'cookie' HTTP n'était pas automatiquement positionné à Ne pas utiliser, ce qui entraînait un dysfonctionnement de cette méthode d'authentification. Cette anomalie a été corrigée.

Référence support 56595

La tentative de création d'un nouvel objet au sein de l'assistant de politique d'authentification échouait et affichait un "?" en lieu et place du nom de l'objet. Ce problème a été corrigé.

Référence support 59731

Une anomalie dans l’encodage de l’e-mail de parrainage rendait le lien de validation inclus dans cet e-mail invalide. Cette anomalie a été corrigée.

 

Objets

Référence support 58476 - 58944

Les objets routeurs et objets temps n'étaient pas pris en charge lors d'une restauration partielle de configuration. Cette anomalie a été corrigée.

Référence support 56113

Les objets globaux intégrés dans un objet routeur n’étaient pas pris en compte. Cette anomalie a été corrigée.

Référence support 53218

Lorsqu'une dialup (modem PPoE, PPTP, PPP ou L2TP) active et fonctionnelle était intégrée dans un objet routeur, celui-ci ne récupérait pas son état et la considérait donc comme injoignable. Ce problème a été corrigé.

Référence support 59083

Certificats et PKI

Dans le cadre d'un renouvellement de certificat via le protocole Simple Certificate Enrollment Protocol (SCEP), à l'aide de la commande en ligne SCEP RENEW, et lorsque le Distinguished Name (DN) de ce certificat contenait plus d'un attribut du même type (OU, CN, O,...), seule la première occurrence de cet attribut était conservée après l'opération. Cette anomalie a été corrigée.

Référence support 51618

VPN SSL Portail

Les connexions vers des serveurs applicatifs au travers de l’application VPN SSL Portail ne fonctionnaient plus en version 3. Ce problème a été corrigé.

 

VPN SSL

Référence support 58856

Le nombre maximal de tunnels VPN SSL autorisé physiquement sur les firewalls Netasq modèle U série S était inférieur au nombre de tunnels prévus. Cette anomalie a été corrigée.

Référence support 52972 - 53289

Un problème pouvant empêcher l'établissement de nouveaux tunnels VPN SSL (connexion bloquée à l'étape "GET CONF") a été corrigé.

 

Proxies

Référence support 52034

Lorsqu'une règle de filtrage faisait appel au proxy explicite, le changement du port d'écoute de ce proxy (TCP/8080 par défaut) n'était pas pris en compte par les règles d'authentification contenues dans la politique de filtrage. Cette anomalie a été corrigée.

Référence support 55700

Une anomalie dans la gestion des tailles maximales du nom d’utilisateur et de domaine composant une adresse e-mail a été corrigée.

Référence support 54003

Le proxy HTTP pouvait considérer à tort des téléchargements comme partiels. Cette anomalie a été corrigée.

Référence support 56464

Une anomalie dans la lecture des informations situées derrière le nom de domaine précisé dans la commande EHLO bloquait à tort le flux SMTP correspondant.

Référence support 52848

Après analyse Sandboxing d'un e-mail, le nom de la pièce attachée référencée dans les journaux de traces était erroné. Ce problème a été corrigé.

Référence support 49996

Une anomalie dans la gestion des réponses du protocole Internet Content Adaptation Protocol (ICAP) en mode Request Modification (reqmod) pouvait entraîner une surconsommation de ressources mémoire ou un blocage du proxy HTTP.

Référence support 57326

Lorsqu'un e-mail contenait une commande de fin de ligne erronée dans ses données, la connexion était réinitialisée uniquement entre le client et le firewall, le serveur restant en attente jusqu'à l'expiration de la connexion. Cette anomalie a été corrigée.

Référence support 58824

Lorsqu'un client envoyait une commande RESET à destination du serveur de messagerie, la connexion était réinitialisée uniquement entre le client et le firewall, le serveur restant en attente jusqu'à l'expiration de la connexion. Cette anomalie a été corrigée.

Référence support 56475

Lorsqu'un e-mail contenait une adresse émettrice ou destinataire excédant la taille définie par la RFC (partie locale ou nom de domaine), le proxy ne clôturait pas la connexion après l'envoi du message d'erreur ("553 Localpart too long" ou "553 Domain name too long"). Ce problème a été corrigé.

Référence support 59420

Le proxy pouvait refuser de se lancer sur un firewall utilisant une règle de filtrage avec au moins une case de destination des traces décochée (onglet Configuration Avancée du module Action dans la boîte d'édition d'une règle de filtrage). Ce problème a été corrigé.

Référence support 58567

Remise en configuration d’usine

L'aide du script de remise en configuration d’usine (defaultconfig) présentait une explication erronée pour l'option « –D » (Only Restore the data partition on G2 hardware). Cette anomalie a été corrigée (Only Restore the data partition).

Référence support 56394

Proxies – Firewalls modèle SN 910

Les limites en nombre de connexions autorisées pour les proxies (HTTP, SSL, SMTP, POP3 et FTP) des Firewalls modèle SN910 étaient incorrectes. Elles ont été augmentées pour correspondre aux véritables performances autorisées par ce modèle.

Référence support 57286

IPSec

Dans une configuration présentant un tunnel IPSec site à site et une politique IPSec Anonyme (utilisateurs nomades), la désactivation du tunnel site à site (état du tunnel à off ) ne supprimait pas le correspondant du fichier de configuration IPSec. Cette anomalie, qui provoquait le dysfonctionnement des connexions nomades, a été corrigée.

IPSec (IKEv2)

Référence support 54831

Lors de la renégociation d’une phase 1 de tunnel IPSec en IKEv2, le moteur IPSec détruisait la SA existante (Security Association – Association de Sécurité) ainsi que les SA filles avant de négocier la nouvelle SA.

Ce comportement, qui pouvait provoquer des pertes de paquets importantes, a été modifié afin de procéder en premier lieu à la négociation de la nouvelle SA avant de détruire les anciennes.

Référence support 59152

Un problème pouvant empêcher l'établissement de tunnels IPSec IKEv2 à destination des firewalls modèle SN150 a été corrigé.

Référence support 59280

Le nombre de SA IKE pour un même tunnel IPSec IKEv2 pouvait augmenter au fil du temps sans que les SA inutilisées ne disparaissent. Cette anomalie a été corrigée.

 

Haute Disponibilité

Référence support 56268

L'ajout ou la suppression d'une interface dans un agrégat (LACP) n'était pas répercutée sur l'indicateur de qualité du mécanisme de Haute Disponibilité. Cette anomalie a été corrigée.

Référence support 57056

Une optimisation dans les paramètres de détection de perte du firewall actif sur problème électrique (paramètre ConsensusTimeout) a permis de réduire de manière importante le délai de bascule du cluster.

Référence support 56613

Après plusieurs redémarrages accidentels du moteur de gestion de la Haute Disponibilité, les jetons associés n'étaient pas supprimés. La table des jetons pouvait ainsi être saturée et empêchait alors le démarrage d’autres services du firewall. Ce problème a été corrigé.

Référence support 56478

Une instabilité du moteur de synchronisation des données provoquait un redémarrage en boucle du service de gestion de la Haute Disponibilité. Ce dysfonctionnement pouvait entraîner un passage du firewall passif en mode actif, les deux firewalls du cluster devenant alors actifs. Ce problème a été corrigé.

Référence support 50048

Un changement de rôle suite au redémarrage du membre actif du cluster pouvait entraîner une désynchronisation concernant les tunnels IPSec négociés par les deux membres du cluster.

Référence support 54289 - 58842

Lors d'un changement de rôle des firewalls au sein d'un cluster, la restauration des connexions actives ne tenait pas compte de la filiation de ces connexions (flux de connexion / flux de données). Les flux de données pour des protocoles de type FTP n'étaient ainsi pas transférés. Ce problème a été corrigé.

 

Référence support 55076

Protection applicative

Dans une configuration utilisant le moteur antiviral Karspersky, l’analyse d’un fichier de type bombe de décompression (zip bomb) pouvait provoquer une saturation de la partition temporaire, induire une charge CPU importante et aboutir à une erreur d’analyse. Ce problème a été corrigé.

Filtrage et NAT

Référence support 56570

Lorsque le nom saisi pour une règle de filtrage excédait la taille maximale autorisée, celle-ci n'était pas précisée dans le message d'erreur. Cette anomalie a été corrigée et il est désormais indiqué que ce nom ne doit pas excéder 255 caractères.

Référence support 56672

Lors du survol d'un groupe de services utilisé dans une règle de filtrage, l'infobulle détaillant l'ensemble des services inclus dans le groupe n'était pas affichée. Cette anomalie a été corrigée.

Référence support 58535

Lors du survol d'un service utilisé dans une règle de filtrage, les informations présentes dans l'infobulle étaient incomplètes. Cette anomalie a été corrigée.

Référence support 59297

Lors du survol d'un objet réseau de type Plage d'adresses IP utilisé dans une règle de filtrage, l'infobulle affichait par erreur le message "Objet non trouvé". Cette anomalie a été corrigée.

Référence support 55190

Routage par politique (PBR)

Dans une configuration telle que :

  • Une route statique est appliquée à un réseau,
  • Une règle de filtrage met en oeuvre du routage par politique (PBR) à ce même réseau pour un port particulier,
  • De la translation d'adresses est réalisée en sortie de firewall,

le rechargement des règles de filtrage empêchait les connexions correspondant à la règle de PBR de s’établir.

Référence support 50977

DNS dynamique

Les modifications d'adresse IP du firewall n'étaient plus répercutée chez le fournisseur de DNS Dynamique lorsque le protocole SSL était utilisé. En effet, la vérification du certificat de ce fournisseur échouait. Ce problème a été corrigé.

Référence support 55728

Configuration

La modification du nom du firewall (module Système > Configuration) n'était répercutée ni dans le nom d'émetteur des alertes par e-mail, ni dans le tableau de bord de SN Real-Time Monitor. Cette anomalie a été corrigée.

Référence support 56734

Événements système

Le rapport généré lors d’un blocage d’attaque par force brute ne contenait pas l’adresse IP source bannie. Cette anomalie a été corrigée.

Réseau

Référence support 57328

VLAN

Le dernier fragment d'un paquet UDP destiné à emprunter un VLAN n'était pas correctement transmis par le firewall à l'interface parente du VLAN. Ce problème a été corrigé.

 

Interfaces virtuelles

Référence support 53881

Lorsqu’une interface virtuelle GRE créée initialement comme inactive se voyait attribuer une adresse IP, son changement d’état n’était pas immédiatement répercuté dans l’interface Web d’administration. Il était ainsi nécessaire de changer de module puis de revenir dans le module interfaces virtuelles pour visualiser ce changement. Cette anomalie a été corrigée.

Référence support 58685

Les statistiques de débit sortant des interfaces virtuelles IPSec affichaient toujours une valeur nulle. Cette anomalie a été corrigée.

Prévention d’intrusion

Référence support 57396

Lorsque des flux utilisant systématiquement le même port source traversaient une règle en mode Firewall ou IDS, la réinitialisation de la première connexion empêchait l’établissement des connexions immédiatement suivantes. En effet, celles-ci étaient alors considérées comme également réinitialisées. Ce problème a été corrigé en autorisant la réutilisation immédiate d’un même port source dans les modes Firewall et IDS (TCP Closed FastReuse).

Référence support 53011 - 58465

Application TeamViewer

Suite à une évolution de l'application TeamViewer, l'analyse IPS des flux relatifs à cette application déclenchait à tort l'alarme bloquante « Paquet SSL invalide ». Ce problème a été corrigé.

Référence support 53094

Protocole RTSP (Real-Time Streaming Protocol)

Le moteur de prévention d’intrusion bloquait à tort l’en-tête Scale de la méthode Play. Cette anomalie a été corrigée.

Référence support 51867

Protocole HTTP

Dans une configuration utilisant le routage par politique (PBR) pour les flux HTTP, l’activation de l’option Appliquer la règle de NAT sur le trafic analysé (Configuration globale du protocole HTTP dans le module Protection applicative > Protocoles) provoquait un routage incorrect des paquets issus du proxy

Référence support 53640

Le mécanisme de filtrage YouTube for Educaction n'étant plus actif, il a été remplacé par le mécanisme Restrictions Youtube. Celui-ci peut être activé et paramétré (limitation stricte ou modérée) dans l'onglet IPS du protocole HTTP (module Protection applicative > Protocoles).

Référence support 58409

Protocole SIP

Le nombre maximum de connexions filles autorisées pour le protocole SIP a été augmenté afin de permettre :

  • 127 appels simultanés sur les modèles U30S, U70S, SN150, SN160W, SN200, SN210W et SN300,
  • 127 appels simultanés sur les modèles U30S, U70S, SN150, SN160(W), SN200, SN210(W), SN300 et SN310,
  • 1023 appels simultanés pour les autres modèles,

contre 16 auparavant pour l'ensemble des modèles.

Référence support 53886

Protocole ICMP

Lors de la réception ou de la transmission de plusieurs requêtes ICMP présentant un même identifiant, une même séquence et des données différentes, le firewall ne prenait pas en compte les paquets de réponse de la première requête et bloquait les suivantes (alarme "Modification des données ICMP ECHO"). Cette anomalie a été corrigée.

Interface Web d'administration

Référence support 54459

Protocole SSL

Lorsqu'une case était cochée dans la section Négociation SSL d'un profil déterminé, et que cette modification était appliquée, la même case se retrouvait cochée à tort dans l'ensemble des profils. Ce problème a été corrigé.

Supervision - rapports - Journaux d'audit

Référence support 56766

Rapports

Sur les modèles de firewalls ne possédant pas de partition de traces (modèles sans disque dur), une anomalie dans la gestion de la case à cocher d'activation des rapports (onglet Stockage local du module Notifications > Traces - Syslog - IPFIX) a été corrigée.

Référence support 57247

Supervision

Lorsque les rapports étaient désactivés et que les graphiques historiques étaient désactivés (module Notifications > Configuration des rapports), les graphiques historiques couvrant les 30 derniers jours ne pouvaient pas être affichés. Ce problème a été résolu.

Référence support 53352

Journaux

Les commandes de supervision de services inactifs du firewall (MONITOR POWER, MONITOR FWADMIN,…) étaient tracées à tort dans le fichier de journaux l_server. Cette anomalie a été corrigée.

Référence support 54926

Routage multicast

Un compte utilisateur ayant tous les droits d'administration ne pouvait pas appliquer une modification de configuration réalisée dans le module Réseau > Routage multicast (message d'erreur "Il n'y a rien à sauvegarder"). Cette anomalie été corrigée.

Stormshield Network Real-Time Monitor

Référence support 58502 - 57414

Utilisateurs

La commande de suppression des utilisateurs, disponible via le menu contextuel (clic droit) du module Utilisateurs, ne fonctionnait plus. Ce problème a été corrigé.